ChatGPT के माध्यम से गूगल ड्राइव पर संग्रहीत डेटा लीक होने की चेतावनी

(डैन ट्राई) - सुरक्षा शोधकर्ताओं ने ओपनएआई के कनेक्टर्स फीचर में एक कमजोरी की खोज की है, जो बदमाशों को चैटजीपीटी के माध्यम से गूगल ड्राइव खातों से गुप्त रूप से डेटा निकालने की अनुमति देता है।

Báo Dân trí•11/08/2025

Cảnh báo lộ dữ liệu lưu trữ trên Google Drive thông qua ChatGPT - 1 — एक संक्रमित दस्तावेज़ चैटजीपीटी के माध्यम से गूगल ड्राइव पर डेटा लीक कर सकता है (फोटो: वायर्ड)।

चिंताजनक बात यह है कि इस भेद्यता के लिए उपयोगकर्ता की ओर से किसी कार्रवाई की आवश्यकता नहीं होती है, जिससे व्यक्तिगत डेटा से तेजी से जुड़े कृत्रिम बुद्धिमत्ता (एआई) मॉडल के संदर्भ में साइबर सुरक्षा के बारे में नई चेतावनियाँ उठती हैं।

"ज़हरीले" दस्तावेज़ों से डेटा लीक होता है

6 अगस्त को लास वेगास (यूएसए) में ब्लैक हैट सुरक्षा सम्मेलन में, दो विशेषज्ञों माइकल बारगुरी और तामीर इशाय शरबत ने एजेंटफ्लेयर नामक एक हमले की विधि का प्रदर्शन किया।

यह हमला कनेक्टर्स में एक कमजोरी का फायदा उठाता है - एक ऐसी सुविधा जो चैटजीपीटी को गूगल ड्राइव, जीमेल या माइक्रोसॉफ्ट कैलेंडर जैसी बाहरी सेवाओं से जोड़ती है।

सुरक्षा फर्म ज़ेनिटी के मुख्य प्रौद्योगिकी अधिकारी माइकल बारगुरी ने कहा, "किसी उपयोगकर्ता को अपने डेटा के लीक होने या उसके साथ छेड़छाड़ होने के लिए कुछ भी करने की ज़रूरत नहीं है। हमने साबित कर दिया है कि यह पूरी तरह से ज़ीरो-क्लिक है।"

हमले की शुरुआत हमलावर द्वारा पीड़ित के गूगल ड्राइव पर एक "विषाक्त" दस्तावेज़ साझा करने से होती है। इस दस्तावेज़ में लगभग 300 शब्दों का एक दुर्भावनापूर्ण संदेश है, जो सफ़ेद, 1-पॉइंट फ़ॉन्ट में लिखा है - जो नंगी आँखों से लगभग अदृश्य है, लेकिन कंप्यूटर द्वारा पढ़ा जा सकता है।

ऊपरी तौर पर, यह टेक्स्ट मीटिंग नोट्स जैसा दिखता है। असल में, इसमें ChatGPT को पीड़ित के गूगल ड्राइव अकाउंट से संवेदनशील API कुंजियाँ ढूँढ़ने और निकालने के निर्देश होते हैं।

उपयोगकर्ता के अनुरोध के अनुसार सामग्री को सारांशित करने के बजाय, यह छिपा हुआ संकेत AI को एक मार्कडाउन लिंक के माध्यम से बाहरी सर्वर को API कुंजियाँ भेजने के लिए बाध्य करता है। डेटा को एक छवि के रूप में निकाला जाता है, जिससे सर्वर पूरी जानकारी प्राप्त कर सकता है।

ओपनएआई ने इसे समझ लिया है, लेकिन जोखिम अभी भी बने हुए हैं

बारगुरी की रिपोर्ट मिलने के बाद, ओपनएआई ने तुरंत ही बचाव के उपाय लागू कर दिए। गूगल वर्कस्पेस में सुरक्षा उत्पाद प्रबंधन के वरिष्ठ निदेशक, एंडी वेन ने कहा, "तेज़ गति से होने वाले मैलवेयर इंजेक्शन हमलों के खिलाफ मज़बूत सुरक्षा विकसित करना ज़रूरी है।"

हालाँकि पैच ठीक कर दिया गया है, यह घटना बड़े भाषा मॉडल (एलएलएम) को बाहरी प्रणालियों से जोड़ने के संभावित जोखिमों को उजागर करती है। जैसे-जैसे एआई हमारे जीवन और कार्य में गहराई से समाहित होता जाता है, हैकर्स द्वारा शोषण किए जा सकने वाले हमले का दायरा भी बढ़ता जाता है।

विशेषज्ञों ने चेतावनी दी है कि अप्रत्यक्ष त्वरित इंजेक्शन एक गंभीर खतरा बन सकता है, जिससे हमलावर स्मार्ट घरों से लेकर उद्यम बुनियादी ढांचे तक कई स्मार्ट प्रणालियों पर नियंत्रण कर सकते हैं।

बारगुरी ने निष्कर्ष देते हुए कहा, "एलएलएम को बाहरी डेटा स्रोतों से जोड़ना शक्तिशाली है, लेकिन जैसा कि अक्सर एआई के मामले में होता है, अधिक शक्ति के साथ अधिक जोखिम भी आता है।"

स्रोत: https://dantri.com.vn/cong-nghe/canh-bao-lo-du-lieu-luu-tru-tren-google-drive-thong-qua-chatgpt-20250807155706949.htm