Luki w zabezpieczeniach plug-inu ChatGPT. Narażone dane oraz konta

Firma Salt Security zajmująca się bezpieczeństwem API przeprowadziła analizę wtyczek ChatGPT i znalazła kilka typów luk, które można było wykorzystać, aby uzyskać potencjalnie wrażliwe dane, a także przejąć konta w witrynach stron trzecich.

Wtyczki ChatGPT umożliwiają użytkownikom dostęp do aktualnych informacji (ale nie do stosunkowo starych danych, na których szkolił się chatbot). Dają również możliwość integracji chatbota z usługami stron trzecich. Mogą na przykład ułatwiać użytkownikom interakcję z kontami GitHub lub Google Drive.

Jednakże gdy używana jest wtyczka, ChatGPT potrzebuje pozwolenia na wysyłanie danych użytkownika do strony internetowej z nią powiązanej, a wtyczka może potrzebować dostępu do konta użytkownika w usłudze, z którą współpracuje.

Pierwsza luka zidentyfikowana przez Salt Security dotyczyła bezpośrednio ChatGPT, a konkretnie uwierzytelniania OAuth. Osoba atakująca, która nakłoniła ofiarę do kliknięcia specjalnie spreparowanego linka, mogła zainstalować złośliwą wtyczkę przy użyciu własnych danych uwierzytelniających na koncie ofiary, a ofiara nie musiała potwierdzać instalacji.

Spowodowałoby to, że każda wiadomość wpisana przez ofiarę, w tym informacje mogące zawierać dane uwierzytelniające i inne wrażliwe dane, zostałyby wysłane do wtyczki i pośrednio do osoby atakującej.

Drugą lukę odkryto we wtyczce AskTheCode opracowanej przez PluginLab.AI, która umożliwia użytkownikom interakcję z ich repozytoriami GitHub. Podatność w zabezpieczeniach mogła umożliwić osobie atakującej przejęcie kontroli nad kontem ofiary na GitHubie i uzyskanie dostępu do repozytoriów kodu poprzez exploit zero-click.

Trzecia luka również związana była z protokołem OAuth i stwierdzono, że miała wpływ na kilka wtyczek, ale Salt przedstawił swoje ustalenia na plug-inie o nazwie Charts autorstwa Kesem AI. Osoba atakująca, której udałoby się nakłonić użytkownika do kliknięcia specjalnie spreparowanego łącza, mogła przejąć konto ofiary powiązane z wtyczką.

Luki zgłoszono do OpenAI, PluginLab.AI i Kesem AI wkrótce po ich wykryciu latem 2023 roku. Dostawcy wprowadzili poprawki w kolejnych miesiącach.

Kiedy Salt Security przeprowadziło badania, plug-iny do ChatGPT stanowiły główny sposób dodawania funkcjonalności. W listopadzie OpenAI ogłosiło, że klienci biznesowi będą mogli tworzyć własne GPT, które można dostosować do konkretnych tematów lub zadań. Oczekuje się, że te GPT zastąpią wtyczki.

Jednocześnie firma Salt Security stwierdziła, że znalazła luki również w zabezpieczeniach GPT i planuje opisać je szczegółowo w nadchodzącym poście na blogu. Inni badacze także znaleźli sposoby na kompromitację GPT, w wyniku której można uzyskać potencjalnie cenne dane.

Czekamy na kolejne informacje w tym temacie. Tymczasem polecamy lekturę naszych postów. O sztucznej inteligencji między innymi tutaj.