Кіберфахівці знайшли три критичні вразливості у ChatGPT

Кібераналітики Salt Labs провели свіже дослідження, під час якого виявили три вразливих місця ChatGPT, пов’язані з плагінами.

Перша вразливість виникала, коли користувачі встановлювали нові плагіни. Процес встановлення нових плагінів включає сайт, на якому користувачі повинні затвердити код. Після схвалення коду плагін встановлюється автоматично. Дослідження виявило, що зловмисники можуть використовувати цей процес, забезпечуючи схвалення коду за допомогою шкідливих плагінів. Це може дозволити зловмиснику отримати доступ до облікового запису користувача.

Друга вразливість була виявлена у структурі, що використовується для розробки плагінів, — PluginLab. Під час встановлення облікові записи користувачів не були належним чином автентифіковані. Це може дозволити кібершахраю вставити несанкціоновану ідентифікацію в обліковий запис, дозволяючи хакеру представити себе системі як користувача.

Третьою вразливістю стали кілька плагінів із відкритою маніпуляцією перенаправлення авторизації - це призводить до захоплення облікового запису користувача через плагін. Надсилаючи зловмисне посилання потенційній жертві, зловмисник може отримати облікові дані користувача.

Дослідники цього проекту повідомили OpenAI про свої знахідки, і згодом проблеми були вирішені.

Нагадаємо — 21 лютого, користувачі ChatGPT зіткнулися з незвичною проблемою: сервіс почав відповідати на запити довгими та безглуздими повідомленнями, змішуючи англійську мову з іспанською без видимої на те причини й викликаючи занепокоєння в користувачів твердженнями про свою «присутність» у кімнаті з ними.