Forscher fanden drei Schwachstellen, die ChatGPT-Plugins betreffen

Oscar

ChatGPT ist heute viel nützlicher als damals, als ich herauskam, und das liegt an der Verwendung von Plugins und GPTs. Nun, wenn Sie vorhaben, diese zu verwenden, gefährden Sie möglicherweise Ihre Daten und Ihre Cybersicherheit. Forscher von Salt Security entdeckten mehrere Sicherheitslücken bei Plugins und GPTs, die möglicherweise dazu geführt haben, dass die Konten einiger ChatGPT-Benutzer gehackt wurden

Plugins und GPTs verleihen ChatGPT mehr Nutzen. Sie ermöglichen dem Chatbot mehr als nur die Beantwortung typischer KI-Chatbot-Fragen. Stellen Sie sich GPTs als kleinere, vom Benutzer erstellte Versionen von ChatGPT vor, die auf die Ausführung bestimmter Aufgaben spezialisiert sind. Benutzer erstellen diese GPTs und veröffentlichen sie im GPT-Store. Betrachten Sie sie also als Google Chrome-Erweiterungen. Benutzer erstellen sie und veröffentlichen sie im GPT-Store, wo Sie sie installieren und in ChatGPT verwenden können.

Bei einigen ChatGPT-Plugins wurden Sicherheitslücken gefunden

Salt Security konnte es finden drei verschiedene potenzielle Probleme, die Benutzer betreffen. Durch diese Probleme könnten böswillige Akteure Zugriff auf Benutzerkonten erhalten, was niemals eine gute Sache ist.

Erste Schwachstelle

Das erste Sicherheitsproblem tritt bei der eigentlichen Installation eines Plugins oder GPT auf. Leider überprüft ChatGPT nicht, ob ein Benutzer mit der Installation eines Plugins begonnen hat. Das ist ein großes Problem, das gleich erklärt wird.

Wenn Sie ein neues Plugin installieren, muss ChatGPT es überprüfen. Dazu muss Ihnen die Website des Plugins einen Code senden. Anschließend senden Sie diesen Code an ChatGPT, das ihn auf der Website überprüft. Sobald ChatGPT überprüft, ob der Code legitim ist, wird das Plugin installiert.

Dies ist jedoch eine Möglichkeit für böswillige Akteure, die Informationen der Opfer zu stehlen. Der Geheimcode wird in einem Link gespeichert. Anschließend wird das Plugin mit den Zugangsdaten des Benutzers installiert. Dies bedeutet, dass der Benutzer die Kontrolle über das Plugin hat.

Aus diesem Grund ist es schlecht, dass ChatGPT nicht überprüft, ob Benutzer den Installationsprozess gestartet haben. Ein böswilliger Akteur kann jedem einen Link mit einem Code senden, um das Plugin mit den Anmeldeinformationen des Angreifers auf Ihrem Konto zu installieren. Da ChatGPT nicht überprüft, ob der Kontoinhaber den Installationsprozess gestartet hat, kann jede Person, die den Code sendet, das Plugin installieren lassen.

Nach der Installation hat der Angreifer die Kontrolle über das GPT im Konto des Opfers. An diesem Punkt kann der Angreifer das bösartige Plugin veranlassen, alle Ihre Chat-Konversationen und Informationen dorthin umzuleiten. Dadurch gelangen alle Ihre sensiblen Informationen in die Hände des Angreifers.

Zweite Schwachstelle

Die nächste Sicherheitslücke stellt eine große Bedrohung dar, wenn Sie das AskTheCode-Plugin verwenden. Dies ist ein Plugin, das Ihr ChatGPT-Konto mit Ihrem GitHub-Konto verbindet. Wenn Sie dieses Plugin installieren, wird tatsächlich ein separates Konto erstellt, um Ihre GitHub-Anmeldeinformationen zu speichern.

Nun, Hacker können über eine Sicherheitslücke in die GitHub-Konten der Benutzer eindringen und deren GitHub-Repositorys stehlen. Dem Bericht zufolge erfolgt diese Aktion durch die Zusendung eines speziellen Links an das Opfer. Über den Link werden wichtige Informationen über den Benutzer angezeigt, die als „ihr“ bezeichnet werden Mitgliedsnummerund senden Sie es an den Angreifer.

Also, die Mitgliedsnummer einer Person ist äußerst entscheidend. Danach geht der Angreifer zu ChatGPT und installiert das AskTheCode-Plugin. An diesem Punkt installieren sie das Plugin und verwenden die Mitglieds-ID des Opfers zur Authentifizierung. In diesem Fall erhält der Angreifer Zugriff auf das AskTheCode-Konto und das GitHub-Konto des Opfers. Dadurch erhält der Angreifer Zugriff auf die Repositories.

Dritte Schwachstelle

Schließlich ähnelt die dritte Schwachstelle der zweiten. Der Angreifer würde einen böswilligen Link an das Opfer senden, der das Plugin installiert, jedoch die Anmeldeinformationen des Opfers verwendet. Dadurch erhält der Angreifer die Kontrolle über das Konto des Opfers.

Hoffentlich werden diese Probleme behoben, bevor weitere Opfer auftauchen.