Одна из основных угроз заключается в возможности внедрения вредоносного кода в сеансы ChatGPT с помощью плагинов.
В марте 2023 года OpenAI представила платформу для плагинов ChatGPT, позволяющую разработчикам расширять его функциональность. Однако, по информации Wired, исследователи безопасности выразили опасения относительно угроз безопасности и конфиденциальности, связанных с плагинами ChatGPT.
Одна из основных угроз заключается в возможности внедрения вредоносного кода в сеансы ChatGPT с помощью плагинов. Это может привести к краже данных, установке вредоносного ПО или даже несанкционированному контролю компьютера пользователя.
Другой риск заключается в несанкционированном сборе данных пользователей с помощью плагинов. Например, плагин может отслеживать активность пользователя в Интернете или записывать их разговоры с ChatGPT без их согласия и осведомления.
Исследователь безопасности и директор команды "красных команд" в Electronic Arts, Иоганн Рехбергер, изучал плагины ChatGPT в свое свободное время. Он обнаружил, как эти плагины могут быть использованы для доступа к истории чатов, получения личной информации и выполнения кода на компьютере пользователя без его согласия.
Рехбергер сосредоточился на плагинах, использующих OAuth, веб-стандарт для обмена данными между онлайн-аккаунтами. Он лично уведомил нескольких разработчиков плагинов о проблемах и неоднократно пытался связаться с OpenAI. Рехбергер подчеркивает, что ChatGPT не может доверять плагину из-за возможности вредоносных действий.
OpenAI предприняла некоторые меры для снижения рисков, таких как обязательный обзор всех плагинов перед публикацией. Однако исследователи безопасности считают, что необходимо предпринять дополнительные меры для защиты пользователей от рисков, связанных с плагинами ChatGPT.
Вот некоторые угрозы безопасности и конфиденциальности, связанные с плагинами ChatGPT:
1. Внедрение вредоносного кода: Плагины могут внедрять вредоносный код в сеансы ChatGPT, позволяя злоумышленникам красть данные, устанавливать вредоносное ПО или получать несанкционированный контроль над компьютером пользователя.
2. Сбор данных: Плагины могут собирать данные пользователей без их согласия или осведомления, включая отслеживание активности в Интернете или запись разговоров с ChatGPT.
3. Фишинговые атаки: Плагины могут использоваться для запуска фишинговых атак, создавая поддельные сеансы ChatGPT, которые обманывают пользователей и заставляют их предоставлять личную информацию.
В мае Рехбергер подчеркнул угрозу "внедрения подсказок", которое позволяет посторонним лицам манипулировать запросами ChatGPT без согласия пользователя. Он продемонстрировал это, вставив новые подсказки в запрос ChatGPT, в результате чего ChatGPT следовал внедренной подсказке. Хотя такие внедрения подсказок могут показаться безопасными, они иллюстрируют потенциал для злоумышленнического использования.
Источник: Wired
Теги: Искусственный интеллект (AI), ChatGPT, Плагины ChatGPT, Киберпреступность, Кибербезопасность, Генеративный ИИ, Большая языковая модель (LLM), OpenAI, Безопасность, Исследования в области безопасности
Подпишитесь и получайте обновления о новых продуктах и технологиях.