导读 新研究发现ChatGPT存在安全漏洞,可能允许黑客接管用户的其他帐户,例如GitHub。SaltSecurity发现各种ChatGPT插件存在严重的安全漏洞。这些...
新研究发现ChatGPT存在安全漏洞,可能允许黑客接管用户的其他帐户,例如GitHub。
SaltSecurity发现各种ChatGPT插件存在严重的安全漏洞。这些插件允许AI工具访问其他网站并执行某些任务,例如在GitHub中提交代码和从GoogleDrive检索数据。
利用这些漏洞,威胁者可以接管第三方账户并访问其中的敏感数据。这些漏洞现已得到修复。
ChatGPT插件中发现了三个不同的漏洞。第一个是在用户安装新插件时发现的。ChatGPT会向用户发送一个允许安装的代码。然而,恶意行为者可能会向用户发送一个允许安装恶意插件的代码。
第二个漏洞出现在PluginLab,这是一个用于开发ChatGPT插件的网站。该网站未能正确验证用户账户,这又可能让黑客接管这些账户。受影响的插件之一是“AskTheCode”,它集成在ChatGPT和GitHub之间。
第三个漏洞是在多个插件中发现的,涉及OAuth重定向操作。这也可能允许账户接管。由于URL未经插件验证,攻击者可能会向用户发送恶意链接,用于窃取他们的凭据。