ChatGPT现在比我刚出来时有用得多,这是通过使用插件和GPT实现的。好吧,如果您计划使用这些,您可能会将您的数据和网络安全置于危险之中。SaltSecurity的研究人员发现了多个插件和GPT的安全漏洞,这些漏洞可能导致一些ChatGPT用户的帐户被黑客攻击
插件和GPT为ChatGPT添加了更多实用程序。它们允许聊天机器人做的不仅仅是回答典型的人工智能聊天机器人问题。将GPT视为用户创建的ChatGPT的较小版本,专门用于执行特定任务。用户创建这些GPT并将其发布到GPT商店。因此,可以将它们视为GoogleChrome扩展。用户创建它们并将它们发布到GPT商店,您可以在其中安装它们并在ChatGPT中使用它们。
一些ChatGPT插件发现安全漏洞
SaltSecurity能够发现影响用户的三个不同的潜在问题。这些问题可能会让不良行为者访问用户帐户,这绝不是一件好事。
第一个漏洞
第一个安全问题发生在实际安装插件或GPT时。不幸的是,ChatGPT不会验证用户是否已开始安装插件。这是一个大问题,稍后会解释。
当您安装新插件时,ChatGPT需要对其进行验证。为此,插件的网站需要向您发送代码。然后,您将该代码发送到ChatGPT,后者将通过网站验证该代码。一旦ChatGPT验证代码合法,就会安装该插件。
然而,这是不良行为者窃取受害者信息的一种方式。密码存储在链接内。之后,将使用用户的凭据安装插件。这意味着用户可以控制该插件。
这就是ChatGPT不验证用户是否已开始安装过程的糟糕原因。不良行为者可以向任何人发送包含代码的链接,以使用攻击者的凭据在您的帐户上安装插件。由于ChatGPT不会验证帐户持有者是否已开始安装过程,因此发送代码的任何人都可以安装该插件。
安装后,攻击者将可以控制受害者帐户上的GPT。此时,攻击者可以让恶意插件将您的所有聊天对话和信息重定向到它。这会将您的所有敏感信息置于攻击者手中。
第二个漏洞
如果您使用AskTheCode插件,下一个漏洞将是一个主要威胁。这是一个将您的ChatGPT帐户与GitHub帐户连接起来的插件。当您安装此插件时,它实际上会创建一个单独的帐户来存储您的GitHub凭据。
嗯,黑客能够通过漏洞侵入用户的GitHub帐户并窃取他们的GitHub存储库。据报道,这一行动是通过向受害者发送特殊链接来完成的。该链接将显示有关用户的关键信息(称为其memberId),并将其发送给攻击者。
那么,一个人的memberId是极其重要的。之后,攻击者进入ChatGPT并安装AskTheCode插件。此时,他们将安装该插件并使用受害者的会员ID对其进行身份验证。当这种情况发生时,攻击者将获得对受害者的AskTheCode帐户和受害者的GitHub帐户的访问权限。这将使攻击者能够访问存储库。
第三个漏洞
最后,第三个漏洞与第二个漏洞类似。攻击者会向受害者发送恶意链接,该链接将安装该插件,但使用受害者的凭据。这将使攻击者能够控制受害者的帐户。
希望这些问题能够在更多受害者出现之前得到解决。