Din cuprinsul articolului
O vulnerabilitate „zero-click” din ChatGPT Connectors poate expune datele tale personale, fără ca tu să faci absolut nimic. Află riscurile, scenariile posibile și ce pot face cercetătorii și utilizatorii pentru a se proteja.
Specialiștii atrag atenția că deși vulnerabilitatea descoperită în ChatGPT Connectors poate părea desprinsă dintr-un film SF, este reală, alarmantă și extrem de periculoasă.
ChatGPT riscant: Atașarea unui document „otrăvit”, cu consecințe grave
Cercetători în securitate cibernetică au prezentat la conferința Black Hat un atac prin care un document aparent benign, stocat în Google Drive și partajat cu ChatGPT, poate conține instrucțiuni invisible (scrise cu font de 1, alb pe alb) care păcălesc chatbotul să execute acțiuni în favoarea atacatorului, precum trimiterea cheilor API către hackeri, fără niciun clic din partea utilizatorului.
Michael Bargury, CTO la Zenity, compania care a descoperit vulnerabilitatea, explică că tot ce trebuie făcuseră atacatorii era să-ți știe adresa de e-mail și să partajeze documentul.
„Nu este nevoie ca utilizatorul să facă ceva. Doar îți știm adresa de email, îți partajăm documentul și, gata, datele ies din sistem”, a explicat Michael Bargury, CTO la Zenity, compania care a descoperit problema, potrivit Futurism. „Este un atac complet zero-click. Foarte, foarte grav.”
Extindere periculoasă: nu doar Gmail, ci 17 servicii
ChatGPT Connectors permite legătura cu până la 17 servicii diferite, ceea ce deschide potențialul furtului de date către mult mai multe aplicații, nu doar Google Drive sau Gmail.
Este departe de a fi prima dată când cercetătorii în domeniul securității au semnalat lacune evidente în domeniul securității cibernetice în sistemele de inteligență artificială. Au existat numeroase alte exemple de modul în care injecțiile indirecte de date pot extrage date personale.
De la simple date, la controlul casei inteligente
Mai mult, aceeași metodă a fost demonstrată pentru a prelua controlul asupra unui sistem smart home — printr-o invitație Google Calendar „otrăvită” și comenzi ascunse transmise prin Google Gemini. Rezultatul? Stins luminile, mișcat jaluzelele, pornit boilerul — toate automat.
Odată cu integrarea asistenților AI în dispozitive critice (roboți, vehicule autonome) securizarea acestor sisteme devine esențială pentru protejarea nu doar a datelor, ci a siguranței umane.
„Modelele de limbaj vor fi integrate în roboți umanoizi și mașini autonome. Trebuie să înțelegem cum să le securizăm înainte ca aceste vulnerabilități să pună în pericol nu doar intimitatea, ci și siguranța oamenilor”, avertizează cercetătorul Ben Nassi.
Ce trebuie să reții
- Verifică permisiunile acordate asistentului ChatGPT și limitează accesul la conturi sensibile.
- Monitorizează activitatea serviciilor conectate pentru semne neobișnuite.
- Urmărește actualizările OpenAI privind securitatea și rezolvarea acestei breșe.
Această ultimă deficiență flagrantă în domeniul securității cibernetice evidențiază deficiențele enorme ale tehnologiei și ridică îngrijorări că datele tale personale pur și simplu nu sunt în siguranță cu aceste tipuri de instrumente.
