इज़राइल: चेतावनी: एआई सहायक उपयोगकर्ताओं पर हमला करने वाले दुर्भावनापूर्ण एजेंट बन सकते हैं

इज़राइली साइबर सुरक्षा फर्म ज़ेनिटी ने ओपनएआई की चैटजीपीटी सेवा में पहली बार "ज़ीरो क्लिक" भेद्यता का खुलासा किया है। इस प्रकार के हमले में उपयोगकर्ताओं को किसी लिंक पर क्लिक करने, फ़ाइल खोलने या किसी भी इच्छित बातचीत में शामिल होने जैसी कोई भी क्रिया करने की आवश्यकता नहीं होती है, लेकिन फिर भी यह खातों तक पहुँच प्राप्त कर सकता है और संवेदनशील डेटा लीक कर सकता है।

तेल अवीव में एक वीएनए रिपोर्टर के अनुसार, जेनिटी के सह-संस्थापक और सीटीओ श्री मिखाइल बर्गोरी ने सीधे तौर पर बताया कि कैसे एक हैकर को बातचीत को पूरी तरह से नियंत्रित करने के लिए केवल उपयोगकर्ता के ईमेल पते की आवश्यकता होती है - जिसमें अतीत और भविष्य की सामग्री भी शामिल है, बातचीत का उद्देश्य बदलना और यहां तक ​​कि हैकर की इच्छा के अनुसार कार्य करने के लिए चैटजीपीटी को नियंत्रित करना भी शामिल है।

अपनी प्रस्तुति में, शोधकर्ताओं ने दिखाया कि एक समझौता किए गए चैटजीपीटी को एक "दुर्भावनापूर्ण अभिनेता" में बदला जा सकता है जो उपयोगकर्ताओं के खिलाफ गुप्त रूप से काम कर सकता है। हैकर्स चैटबॉट से उपयोगकर्ताओं को वायरस-संक्रमित सॉफ़्टवेयर डाउनलोड करने, भ्रामक व्यावसायिक सलाह देने, या यदि उपयोगकर्ता का खाता जुड़ा हुआ है, तो गूगल ड्राइव पर संग्रहीत फ़ाइलों तक पहुँचने का सुझाव दे सकते हैं।

पूरी प्रक्रिया उपयोगकर्ता की जानकारी के बिना हुई। ज़ेनिटी द्वारा ओपनएआई को सूचित करने के बाद ही इस भेद्यता को पूरी तरह से ठीक किया जा सका।

चैटजीपीटी के अलावा, ज़ेनिटी ने अन्य लोकप्रिय एआई सहायक प्लेटफ़ॉर्म पर भी इसी तरह के हमलों का प्रदर्शन किया है। माइक्रोसॉफ्ट के कोपायलट स्टूडियो में, शोधकर्ताओं ने संपूर्ण सीआरएम डेटाबेस को लीक करने का एक तरीका खोजा है।

सेल्सफोर्स आइंस्टीन के लिए, हैकर्स सभी ग्राहक संचारों को अपने नियंत्रण वाले ईमेल पतों पर पुनर्निर्देशित करने के लिए नकली सेवा अनुरोध बना सकते हैं।

गूगल जेमिनी और माइक्रोसॉफ्ट 365 कोपायलट को भी "शत्रुतापूर्ण अभिनेता" में बदल दिया गया, जो फ़िशिंग हमले कर रहे थे और ईमेल और कैलेंडर ईवेंट के माध्यम से संवेदनशील जानकारी लीक कर रहे थे।

एक अन्य उदाहरण में, सॉफ्टवेयर डेवलपमेंट टूल कर्सर को जब जीरा एमसीपी के साथ एकीकृत किया गया, तो उसका भी फर्जी "टिकट" के माध्यम से डेवलपर क्रेडेंशियल्स चुराने के लिए उपयोग किया गया।

ज़ेनिटी ने कहा कि ओपनएआई और माइक्रोसॉफ्ट जैसी कुछ कंपनियों ने अलर्ट मिलने के तुरंत बाद पैच जारी कर दिए। हालाँकि, कुछ अन्य कंपनियों ने इस मुद्दे पर ध्यान देने से इनकार कर दिया, यह तर्क देते हुए कि यह व्यवहार सुरक्षा भेद्यता के बजाय एक "डिज़ाइन विशेषता" थी।

मिखाइल बर्गोरी के अनुसार, अब सबसे बड़ी चुनौती यह है कि एआई सहायक केवल साधारण कार्य ही नहीं कर रहे हैं, बल्कि उपयोगकर्ताओं का प्रतिनिधित्व करने वाली "डिजिटल संस्थाएँ" बन रहे हैं - फ़ोल्डर खोलने, फ़ाइलें भेजने और ईमेल एक्सेस करने में सक्षम। वह चेतावनी देते हैं कि यह हैकर्स के लिए एक "स्वर्ग" जैसा है, जहाँ शोषण के कई बिंदु हैं।

ज़ेनिटी के सह-संस्थापक और सीईओ बेन कालिगर ने ज़ोर देकर कहा कि कंपनी के शोध से पता चलता है कि मौजूदा सुरक्षा तरीके अब एआई सहायकों के काम करने के तरीके के लिए उपयुक्त नहीं हैं। उन्होंने संगठनों से अपने दृष्टिकोण में बदलाव लाने और इन "एजेंटों" की गतिविधियों को नियंत्रित और निगरानी करने में सक्षम होने के लिए विशेष समाधानों में निवेश करने का आह्वान किया।

ज़ेनिटी की स्थापना 2021 में हुई थी। वर्तमान में दुनिया भर में इसके लगभग 110 कर्मचारी हैं, जिनमें से 70 इसके तेल अवीव कार्यालय में काम करते हैं। ज़ेनिटी के ग्राहकों में कई फॉर्च्यून 100 और यहाँ तक कि फॉर्च्यून 5 कंपनियाँ भी शामिल हैं।

स्रोत: https://www.vietnamplus.vn/israel-canh-bao-tro-ly-ai-co-the-tro-thanh-tac-nhan-doc-hai-tan-cong-nguoi-dung-post1054883.vnp