В ChatGPT обнаружена уязвимость, позволяющая извлекать данные без участия пользователя

Radware заявила об обнаружении новой критической уязвимости в безопасности ChatGPT, названной ShadowLeak. В отличие от известных методов атак, которые требуют участия пользователя, эта уязвимость представляет собой уникальную возможность для злоумышленников красть данные из пользовательских аккаунтов, не требуя открытия писем, кликов или иных видимых признаков взлома.

ShadowLeak использует функциональность Deep Research, ИИ-агента, который способен к самостоятельному изучению интернета и встроен в ChatGPT. Злоумышленник отправляет электронное письмо, содержащее скрытые инструкции, которые агент обрабатывает без участия пользователя в облачной среде OpenAI. В ходе обработки почты и запросов агент, работая на сервере, собирает и передает конфиденциальные данные на сервер, находящийся под контролем хакеров, минуя при этом конечные устройства и обычные методы защиты.

Источник изображения: img.freepik.com

По словам Дэвида Авива, директора по технологиям компании Radware, атака не вызывает никаких видимых признаков для пользователя, отсутствует какой-либо провоцирующий фактор со стороны пользователя, и о взломе не поступают никакие оповещения. ShadowLeak – это типичный пример атаки без взаимодействия с пользователем, реализованной на стороне сервера».

Не пропустите: Новый графический процессор Bolt Graphics превосходит Nvidia GeForce RTX 5090 и Nvidia B200

Согласно исследованиям, утечки данных, вызванные ИИ-агентами, с каждым годом становятся всё более масштабными, что требует от организаций более тщательного управления и мониторинга внедрения ИИ, а также разработки всесторонних мер защиты, объединяющих технические решения, регламенты и обучение сотрудников.

Уязвимость была устранена выпущенными OpenAI патчами.

DigitalArtSpace

В ChatGPT обнаружена уязвимость, позволяющая извлекать данные без участия пользователя

Свежие записи

Пишем о железе, софте и всём, что между ними.