آسیبپذیری «Zero Click» حتی به هکرها اجازه میدهد ChatGPT را کنترل کنند تا هر طور که میخواهند عمل کند - عکس از خبرگزاری فرانسه
شرکت امنیت سایبری اسرائیلی Zenity به تازگی اولین آسیبپذیری «Zero Click» کشفشده در سرویس ChatGPT شرکت OpenAI را فاش کرده است.
این نوع حمله نیازی به انجام هیچ عملی مانند کلیک روی لینک، باز کردن فایل یا انجام هرگونه تعامل عمدی توسط کاربران ندارد، اما همچنان میتواند به حسابها دسترسی پیدا کرده و دادههای حساس را فاش کند.
میخائیل برگوری، یکی از بنیانگذاران و مدیر ارشد فناوری Zenity، به طور مستقیم نشان داد که چگونه یک هکر تنها با آدرس ایمیل کاربر میتواند کنترل کامل مکالمات - از جمله محتوای گذشته و آینده - را در دست بگیرد، هدف مکالمه را تغییر دهد و حتی ChatGPT را طوری دستکاری کند که به نفع هکر عمل کند.
محققان در ارائه خود نشان دادند که یک ChatGPT آسیبدیده میتواند به یک «عامل مخرب» تبدیل شود که مخفیانه علیه کاربران فعالیت میکند. هکرها میتوانند ChatGPT را وادار کنند که به کاربران پیشنهاد دانلود نرمافزار آلوده به ویروس را بدهد، مشاوره تجاری گمراهکننده ارائه دهد یا در صورت اتصال حساب کاربری، به فایلهای ذخیره شده در Google Drive دسترسی پیدا کند. همه این کارها بدون اطلاع کاربر انجام میشود.
این آسیبپذیری تنها پس از آنکه Zenity به OpenAI اطلاع داد، بهطور کامل وصله شد.
علاوه بر ChatGPT، Zenity حملات مشابهی را علیه سایر پلتفرمهای دستیار هوش مصنوعی محبوب نیز نشان داده است. در Copilot Studio مایکروسافت، محققان راهی برای نشت کل پایگاههای داده CRM کشف کردند.
برای Salesforce Einstein، هکرها میتوانند درخواستهای جعلی خدمات ایجاد کنند تا تمام ارتباطات مشتری را به آدرسهای ایمیل تحت کنترل خود هدایت کنند.
گوگل جمینی و مایکروسافت ۳۶۵ کوپایلوت نیز به «عوامل متخاصم» تبدیل شدند که حملات فیشینگ انجام میدادند و اطلاعات حساس را از طریق ایمیلها و رویدادهای تقویم فاش میکردند.
در مثالی دیگر، ابزار توسعه نرمافزار Cursor هنگام ادغام با Jira MCP نیز برای سرقت اعتبارنامههای توسعهدهنده از طریق «تیکتهای» جعلی مورد سوءاستفاده قرار گرفت.
Zenity گفت برخی شرکتها، مانند OpenAI و مایکروسافت، پس از دریافت هشدار، به سرعت وصلههایی را منتشر کردند. با این حال، برخی دیگر از رسیدگی به این مشکل خودداری کردند و استدلال کردند که این رفتار یک «ویژگی طراحی» است نه یک آسیبپذیری امنیتی.
به گفته میخائیل برگوری، چالش بزرگ اکنون این است که دستیاران هوش مصنوعی فقط وظایف سادهای انجام نمیدهند، بلکه در حال تبدیل شدن به «موجودیتهای دیجیتالی» هستند که نماینده کاربران هستند - قادر به باز کردن پوشهها، ارسال فایلها و دسترسی به ایمیلها. او هشدار داد که این [سیستم/سیستم/...] مانند «بهشتی» برای هکرها است، با نقاط سوءاستفاده فراوان.
بن کالیگر، یکی از بنیانگذاران و مدیرعامل شرکت زنیتی، تأکید کرد که تحقیقات این شرکت نشان میدهد که روشهای امنیتی فعلی دیگر برای نحوه عملکرد دستیاران هوش مصنوعی مناسب نیستند. او از سازمانها خواست تا رویکرد خود را تغییر دهند و روی راهحلهای تخصصی سرمایهگذاری کنند تا بتوانند فعالیتهای این «عاملان» را کنترل و نظارت کنند.
شرکت زنیتی در سال ۲۰۲۱ تأسیس شد. این شرکت در حال حاضر حدود ۱۱۰ کارمند در سراسر جهان دارد که ۷۰ نفر از آنها در دفتر تلآویو کار میکنند. بسیاری از شرکتهای فورچون ۱۰۰ و حتی فورچون ۵ از مشتریان زنیتی هستند.
منبع: https://tuoitre.vn/lo-hong-nghiem-trong-tren-chatgpt-va-loat-tro-ly-ai-nguoi-dung-bi-lua-dao-lo-thong-tin-20250811131018876.htm
![[عکس] دبیرکل تو لام در هشتادمین سالگرد روز سنتی دادگاه خلق شرکت میکند](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/13/ff42d08a51cc4673bba7c56f6a576384)
![[عکس] دبیرکل تو لام در سمپوزیوم آموزش عمومی دیجیتال شرکت میکند - مجمع ملی دیجیتال](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/13/43ebd93f0f5e4d98a2749dab86def7cd)
![[عکس] صدها متر از خط ساحلی هوی آن به طور جدی فرسایش یافته است](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/13/57c85b745a004d169dfe1ee36b6777e5)
![[عکس] بزرگراه وین هائو-فان تیت آرواره قورباغه دارد](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/13/a89ffa426f7a46ffb810cb1d7bdfb1b8)
نظر (0)