Безопасность
![Критические баги ChatGPT раскрывали данные пользователей](https://www.itinfo.media/wp-content/uploads/2024/02/keepcoding-lvf2hlzjopw-unsplash-scaled.jpg?x75360)
16 марта 2024 10:25
Автор: Федор Кравцов
Критические баги ChatGPT раскрывали данные пользователей
В расширении ChatGPT были обнаружены три уязвимости, позволяющие получить несанкционированный доступ к учетным записям и сервисам пользователей, включая репозитории на таких платформах, как GitHub.
Разработчики размещают пользовательские версии плагинов и ботов для ChatGPT, чтобы расширить функциональность модели искусственного интеллекта. Это включает обмен информацией с внешними сервисами — ChatGPT становится способен выполнять действия на сторонних сайтах (например, GitHub и Google Drive).
Исследователи Salt Labs обнаружили сразу три критические уязвимости. Одна из них проявляется при установке нового плагина, то есть когда ChatGPT перенаправляет пользователя на сторонний ресурс для проверки кода.
В результате злоумышленник может обманом заставить пользователя подтвердить вредоносный код, после чего автоматически устанавливается неавторизованный плагин. Успешная эксплуатация этой уязвимости позволяет злоумышленнику получить доступ к учетной записи жертвы.
Также была обнаружена уязвимость в фреймворке PluginLab, используемом для разработки плагинов. При использовании этой уязвимости злоумышленники могут выдать себя за целевого пользователя и завладеть его аккаунтом.
Еще одна проблема связана с манипуляцией OAuth-перенаправлениями, что позволяет злоумышленникам внедрять вредоносные URL-адреса и похищать учетные записи пользователей.
Ранее стало известно, что в 2024 году появится новый механизм борьбы с атаками через QR-код. Подробнее об этом читайте в материале IT INFO MEDIA.