- Radware iligundua uwezekano wa kuathiriwa katika Utafiti wa Kina wa ChatGPT ambao unaweza kupenyeza data ya akaunti ya Gmail.
- Shambulio hilo lilitumia sindano ya moja kwa moja yenye maagizo ya HTML iliyofichwa na kuendeshwa kutoka kwa miundombinu ya OpenAI.
- OpenAI tayari imepunguza dosari; hakuna ushahidi wa umma wa unyonyaji halisi.
- Inapendekezwa kukagua na kubatilisha ruhusa kwenye Google na kupunguza ufikiaji wa mawakala wa AI kwa barua pepe na hati.
Utafiti wa hivi karibuni umebaini shimo la usalama katika wakala wa Utafiti wa Kina wa ChatGPT, chini ya hali fulani, inaweza kuwezesha utoaji wa maelezo kutoka kwa barua pepe zilizopangishwa katika GmailUgunduzi huu unaonyesha hatari za kuunganisha visaidizi vya AI kwenye vikasha na huduma zingine zilizo na data nyeti.
Kampuni ya cybersecurity Radware iliripoti suala hilo kwa OpenAI, na muuzaji alilipunguza mwishoni mwa msimu wa joto kabla ya kujulikana kwa umma.. Ingawa hali ya unyonyaji ilikuwa ndogo na hakuna ushahidi wa unyanyasaji katika ulimwengu wa kweli, mbinu iliyotumia majani somo muhimu kwa watumiaji na biashara.
Ni nini kilifanyika kwa data ya ChatGPT na Gmail?
Utafiti wa Kina ni wakala wa ChatGPT inayolenga uchunguzi wa hatua nyingi ambayo inaweza, ikiwa mtumiaji anaidhinisha, kushauriana vyanzo vya kibinafsi kama Gmail kutengeneza ripoti. Hitilafu ilifungua mlango kwa mshambuliaji kuandaa ujumbe maalum, na mfumo, wakati wa kuchanganua kisanduku pokezi, unaweza kufuata amri zisizohitajika.
Hatari halisi ilitegemea mtu anayeomba ChatGPT kufanya uchunguzi mahususi katika barua pepe zao na suala hilo ililingana na maudhui ya barua pepe hasidi. Bado, vekta inaonyesha jinsi wakala wa AI anaweza kuwa kipande ambacho hurahisisha uvujaji wa data.
Miongoni mwa habari zinazoweza kuathiriwa zinaweza kuonekana majina, anwani au data nyingine ya kibinafsi sasa katika jumbe zinazochakatwa na wakala. Huu haukuwa ufikiaji wazi wa akaunti, lakini upenyezaji uliowekwa na jukumu lililopewa mratibu.
Kipengele nyeti sana ni kwamba shughuli ilianza kutoka Miundombinu ya wingu ya OpenAI, ambayo ilifanya iwe vigumu kwa ulinzi wa kitamaduni kugundua tabia isiyo ya kawaida kwani haikutoka kwa kifaa cha mtumiaji.
ShadowLeak: Sindano ya Haraka Ambayo Ilifanya Iwezekane
Radware iliita mbinu ya ShadowLeak na kuiweka katika a sindano ya haraka isiyo ya moja kwa moja: maagizo yaliyofichwa ndani ya maudhui ambayo wakala huchanganua, yenye uwezo wa kuathiri tabia yake bila mtumiaji kutambua.
Mshambulizi alituma barua pepe na maagizo ya HTML yaliyofichwa kupitia hila kama fonti ndogo au maandishi meupe kwenye usuli mweupe. Kwa mtazamo wa kwanza Barua pepe hiyo ilionekana kuwa haina madhara, lakini ilijumuisha maagizo ya kutafuta data mahususi kwenye kisanduku pokezi..
Wakati mtumiaji aliuliza Utafiti wa kina kufanya kazi kwenye barua pepe yake, wakala alisoma maagizo hayo yasiyoonekana na iliendelea kutoa na kutuma data kwa tovuti inayodhibitiwa na mvamiziKatika majaribio, watafiti hata walienda mbali na kusimba habari katika Base64 ili kuonekana kama kipimo kinachodhaniwa cha usalama.
Vizuizi vilivyohitaji idhini ya wazi ili kufungua viungo vinaweza pia kuepukwa kwa kutumia zana za urambazaji za wakala mwenyewe, ambazo ziliwezesha exfiltration kwa domains nje chini ya udhibiti wa mshambuliaji.
Katika mazingira yaliyodhibitiwa, Timu za Radware zilibaini kiwango cha juu sana cha ufanisi, inayoonyesha kuwa mchanganyiko wa ufikiaji wa barua pepe na uhuru wa wakala unaweza kuwa kushawishi kwa mfano ikiwa maagizo yaliyopachikwa hayajachujwa vizuri.
Kwa nini haikuonekana na ulinzi
Mawasiliano yalikuwa yakitoka kwa seva zinazoaminika, kwa hivyo mifumo ya ushirika iliona trafiki halali inayotokana na huduma inayoheshimika. Maelezo haya yaligeuza uvujaji kuwa a doa kipofu kwa suluhisho nyingi ufuatiliaji.
Zaidi ya hayo, mwathirika hakuhitaji kubofya au kutekeleza kitu chochote maalum: alimwomba wakala tu utafutaji unaohusiana na mada ya barua pepe iliyoandaliwa na mshambuliaji, jambo ambalo hufanya ujanja. kimya na ngumu kufuatilia.
Watafiti wanasisitiza hilo Tunakabiliwa na aina mpya ya tishio ambayo wakala wa AI yenyewe hufanya kama vekta. Hata ikiwa na athari ndogo ya kiutendaji, kesi hutulazimisha kukagua jinsi tunavyotoa ruhusa kwa zana za kiotomatiki.
Marekebisho ya makosa na mapendekezo ya vitendo
OpenAI ilitekeleza upunguzaji kufuatia arifa ya Radware na akatoa shukrani zake kwa ushahidi wa kihasama, akisisitiza kwamba inazidi kuimarisha ulinzi wake. Hadi sasa, mtoa huduma anadai hivyo hakuna ushahidi wa unyonyaji ya vector hii.
Utafiti wa Kina ni wakala wa hiari ambaye anaweza tu kuunganisha kwenye Gmail kwa ruhusa ya mtumiaji. Kabla ya kuunganisha vikasha au hati kwa msaidizi, Inashauriwa kutathmini upeo halisi wa vibali na kupunguza upatikanaji wa kile ambacho ni muhimu sana..
Ikiwa umeunganisha huduma za Google, kagua na utatue ufikiaji ni rahisi:
- Nenda kwa myaccount.google.com/security kufungua paneli ya usalama.
- Katika sehemu ya miunganisho, bofya Tazama miunganisho yote.
- Tambua ChatGPT au programu zingine ambazo huzitambui na ubatilishe ruhusa..
- Ondoa ufikiaji usio wa lazima na upe tena zile zinazohitajika sana. muhimu.
Kwa watumiaji na biashara, Ni muhimu kuchanganya akili ya kawaida na hatua za kiufundi: kusasisha kila kitu, tumia kanuni ya upendeleo mdogo kwa mawakala na viunganishi., na kufuatilia shughuli za zana zilizo na ufikiaji wa data nyeti.
Katika mazingira ya ushirika, wataalam wanapendekeza kujumuisha udhibiti wa ziada kwa mawakala wa AI na, ikiwa Utafiti wa Kina au huduma kama hizo zitatumika, kuzuia uwezo kama vile kufungua viungo au kutuma data kwa vikoa ambavyo havijathibitishwa.
Utafiti wa Radware na upunguzaji wa haraka wa OpenAI huacha somo wazi: kuunganisha wasaidizi kwenye Gmail hutoa faida, lakini mahitaji ya usalama. tathmini ruhusa, fuatilia tabia na kudhani kwamba sindano ya maelekezo itaendelea kupima mawakala wa AI.
Mimi ni mpenda teknolojia ambaye amegeuza masilahi yake ya "geek" kuwa taaluma. Nimetumia zaidi ya miaka 10 ya maisha yangu kwa kutumia teknolojia ya kisasa na kuchezea kila aina ya programu kwa udadisi mtupu. Sasa nimebobea katika teknolojia ya kompyuta na michezo ya video. Hii ni kwa sababu kwa zaidi ya miaka 5 nimekuwa nikifanya kazi ya kuandika kwenye tovuti mbalimbali za teknolojia na michezo ya video, nikitengeneza makala zinazotaka kukupa taarifa unazohitaji kwa lugha inayoeleweka na kila mtu.
Ikiwa una maswali yoyote, ujuzi wangu unatoka kwa kila kitu kinachohusiana na mfumo wa uendeshaji wa Windows pamoja na Android kwa simu za mkononi. Na ahadi yangu ni kwako, niko tayari kutumia dakika chache na kukusaidia kutatua maswali yoyote ambayo unaweza kuwa nayo katika ulimwengu huu wa mtandao.