Сегодня 06 октября 2024
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

В плагинах ChatGPT нашли уязвимости, позволявшие взламывать учётные записи на сторонних платформах

Компания Salt Security обнаружила в некоторых плагинах ChatGPT критические уязвимости, через которые злоумышленники могли получать несанкционированный доступ к учётным записям пользователей на сторонних платформах. Речь идёт о плагинах, позволяющих ChatGPT выполнять такие операции, как, например, правка кода на GitHub или получение данных с «Google Диска».

 Источник изображения: ilgmyzin / unsplash.com

Источник изображения: ilgmyzin / unsplash.com

Плагины ChatGPT — это альтернативные версии чат-бота на основе искусственного интеллекта, и публиковать их может любой разработчик. Эксперты Salt Security обнаружили три уязвимости. Первая касается процесса установки плагина — ChatGPT отправляет пользователю код подтверждения установки, но у злоумышленников есть возможность подменять его кодом для установки вредоносного плагина.

Вторая уязвимость обнаружена на платформе PluginLab, которая используется для разработки плагинов ChatGPT, — здесь отсутствовала достаточная защита при аутентификации пользователей, в результате чего хакеры могли перехватывать доступ к их учётным записям. Одним из плагинов, которые затронула эта проблема, был AskTheCode, предусматривающий интеграцию ChatGPT и GitHub.

Третья уязвимость обнаружилась в нескольких плагинах, и в её основу легли манипуляции с перенаправлениями при авторизации через протокол OAuth. Она тоже позволяла перехватывать доступ к учётным записям на сторонних платформах. Плагины не имели механизма проверки URL-адресов при перенаправлении, что позволяло злоумышленникам отправлять пользователям вредоносные ссылки для кражи их аккаунтов.

Salt Security заверила, что следовала стандартной процедуре и уведомила о своих открытиях OpenAI и другие стороны. Ошибки были исправлены оперативно, и свидетельств о наличии эксплойтов обнаружить не удалось.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Вечерний 3DNews
Каждый будний вечер мы рассылаем сводку новостей без белиберды и рекламы. Две минуты на чтение — и вы в курсе главных событий.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Чтобы разблокировать соцсеть X в Бразилии, Маск заплатил штраф $5 млн, но не туда 11 ч.
Новая статья: Gamesblender № 694: глобальный сбой в PSN, релиз Unreal Engine 5.5 и новый шутер по StarCraft 14 ч.
СМИ сообщают о грядущей ликвидации одной из российских альтернатив «Википедии» 16 ч.
В обновлённом Telegram появились подарки, подтверждение телефонов, улучшенные жалобы и RTMP-трансляции 19 ч.
Accenture сформировала подразделение NVIDIA Business Group и обучит 30 тысяч сотрудников полному стеку ИИ-технологий NVIDIA 22 ч.
Linux-вирус Perfctl заразил с 2021 года тысячи серверов и скрытно майнит на них криптовалюту 23 ч.
Обновление Samsung привело к поломке смартфонов Galaxy S10 и Note 10 по всему миру 05-10 06:59
Минцифры опубликовало правила регистрации блогеров-десятитысячников в реестре Роскомнадзора 05-10 01:00
Telegram объяснил недавние сбои событиями на Ближнем Востоке 05-10 00:23
Надёжный инсайдер: ремейк Assassin’s Creed IV: Black Flag выйдет раньше, чем можно было представить 05-10 00:19