安全研究人员发现 ChatGPT 插件中存在严重安全漏洞。 通过利用这些缺陷,攻击者可以控制第三方平台上的组织帐户并访问敏感用户数据,包括个人身份信息。
在今天发布的新公告中,Salt Security 研究团队发现了 ChatGPT 插件中的三种类型的漏洞。 首先,在插件安装过程本身中发现了漏洞,允许攻击者安装恶意插件并可能拦截包含专有信息的用户消息。
其次,用于开发 ChatGPT 插件的框架 PluginLab 中发现了缺陷,可能导致 GitHub 等第三方平台的账户被盗用。
最后,在多个插件中发现了 OAuth 重定向操纵漏洞,使攻击者能够窃取用户凭据并执行帐户接管。
Salt Security 研究副总裁 Yaniv Balmas 表示:“像 ChatGPT 这样的生成式人工智能工具已迅速吸引了全球数百万人的关注,它们拥有大幅提高业务运营和人类日常生活效率的潜力。”
“随着越来越多的组织利用此类技术,攻击者也开始转向他们的努力,寻找利用这些工具并随后访问敏感数据的方法。”
PluginLab: PluginLab 是一个平台,通过处理用户管理和支付麻烦,帮助 ChatGPT 插件创建者快速启动他们的插件。