चैटजीपीटी और एआई सहायकों की एक श्रृंखला पर गंभीर भेद्यता: उपयोगकर्ताओं को घोटाला किया जाता है, जानकारी लीक की जाती है...

इस भेद्यता से, हैकर्स ChatGPT के माध्यम से उपयोगकर्ताओं को वायरस युक्त सॉफ़्टवेयर डाउनलोड करने का सुझाव दे सकते हैं, गलत व्यावसायिक सलाह दे सकते हैं, और यहां तक कि गूगल ड्राइव पर फ़ाइलों तक पहुंच भी बना सकते हैं...

Báo Tuổi Trẻ•11/08/2025

ChatGPT - Ảnh 1. — 'जीरो क्लिक' भेद्यता हैकर्स को चैटजीपीटी को नियंत्रित करने की अनुमति देती है ताकि वे अपनी इच्छानुसार कार्य कर सकें - चित्रण फोटो: एएफपी

इजराइली साइबर सुरक्षा फर्म जेनिटी ने ओपनएआई की चैटजीपीटी सेवा में पहली "जीरो क्लिक" भेद्यता का खुलासा किया है।

इस प्रकार के हमले में उपयोगकर्ताओं को किसी लिंक पर क्लिक करने, फ़ाइल खोलने या किसी भी जानबूझकर बातचीत में शामिल होने जैसी कोई कार्रवाई करने की आवश्यकता नहीं होती है, लेकिन फिर भी खातों तक पहुंच प्राप्त की जा सकती है और संवेदनशील डेटा लीक किया जा सकता है।

जेनिटी के सह-संस्थापक और मुख्य प्रौद्योगिकी अधिकारी मिखाइल बर्गोरी ने प्रत्यक्ष रूप से प्रदर्शित किया कि कैसे एक हैकर केवल उपयोगकर्ता के ईमेल पते से बातचीत पर पूर्ण नियंत्रण कर सकता है - जिसमें अतीत और भविष्य की सामग्री भी शामिल है, बातचीत का उद्देश्य बदल सकता है, और यहां तक कि चैटजीपीटी को हैकर की इच्छा के अनुसार कार्य करने के लिए हेरफेर भी कर सकता है।

अपनी प्रस्तुति में, शोधकर्ताओं ने दिखाया कि एक हैक किए गए ChatGPT को एक "दुर्भावनापूर्ण अभिनेता" में बदला जा सकता है जो उपयोगकर्ताओं के खिलाफ गुप्त रूप से काम करता है। हैकर्स ChatGPT के ज़रिए उपयोगकर्ताओं को वायरस से भरे सॉफ़्टवेयर डाउनलोड करने का सुझाव दे सकते हैं, भ्रामक व्यावसायिक सलाह दे सकते हैं, या यदि उपयोगकर्ता का खाता जुड़ा हुआ है, तो Google ड्राइव पर संग्रहीत फ़ाइलों तक पहुँच प्राप्त कर सकते हैं। यह सब उपयोगकर्ता की जानकारी के बिना होता है।

ज़ेनिटी द्वारा ओपनएआई को सूचित करने के बाद ही इस कमजोरी को पूरी तरह से ठीक किया जा सका।

चैटजीपीटी के अलावा, ज़ेनिटी ने अन्य लोकप्रिय एआई सहायक प्लेटफ़ॉर्म पर भी इसी तरह के हमलों का प्रदर्शन किया है। माइक्रोसॉफ्ट के कोपायलट स्टूडियो में, शोधकर्ताओं ने संपूर्ण सीआरएम डेटाबेस को लीक करने का तरीका खोजा।

सेल्सफोर्स आइंस्टीन के लिए, हैकर्स सभी ग्राहक संचारों को अपने नियंत्रण वाले ईमेल पतों पर पुनर्निर्देशित करने के लिए नकली सेवा अनुरोध बना सकते हैं।

गूगल जेमिनी और माइक्रोसॉफ्ट 365 कोपायलट को भी "शत्रुतापूर्ण अभिनेता" में बदल दिया गया, जो फ़िशिंग हमले कर रहे थे और ईमेल और कैलेंडर ईवेंट के माध्यम से संवेदनशील जानकारी लीक कर रहे थे।

एक अन्य उदाहरण में, सॉफ्टवेयर डेवलपमेंट टूल कर्सर को जब जीरा एमसीपी के साथ एकीकृत किया गया, तो उसका भी फर्जी "टिकट" के माध्यम से डेवलपर क्रेडेंशियल्स चुराने के लिए शोषण किया गया।

ज़ेनिटी ने कहा कि ओपनएआई और माइक्रोसॉफ्ट जैसी कुछ कंपनियों ने अलर्ट मिलने के तुरंत बाद पैच जारी कर दिए। हालाँकि, कुछ अन्य कंपनियों ने इस समस्या का समाधान करने से इनकार कर दिया, यह तर्क देते हुए कि यह व्यवहार सुरक्षा भेद्यता के बजाय एक "डिज़ाइन विशेषता" थी।

मिखाइल बर्गोरी के अनुसार, अब सबसे बड़ी चुनौती यह है कि एआई सहायक केवल साधारण कार्य ही नहीं कर रहे हैं, बल्कि "डिजिटल संस्थाएँ" बन रहे हैं जो उपयोगकर्ताओं का प्रतिनिधित्व करती हैं - फ़ोल्डर खोलने, फ़ाइलें भेजने और ईमेल एक्सेस करने में सक्षम। उन्होंने चेतावनी दी कि यह हैकर्स के लिए एक "स्वर्ग" जैसा है, जहाँ शोषण के कई बिंदु हैं।

ज़ेनिटी के सह-संस्थापक और सीईओ बेन कालिगर ने कहा कि कंपनी के शोध से पता चलता है कि मौजूदा सुरक्षा तरीके अब एआई सहायकों के काम करने के तरीके के लिए उपयुक्त नहीं हैं। उन्होंने संगठनों से इन "एजेंटों" की गतिविधियों को नियंत्रित और निगरानी करने के लिए अपने दृष्टिकोण में बदलाव लाने और विशेष समाधानों में निवेश करने का आह्वान किया।

ज़ेनिटी की स्थापना 2021 में हुई थी। वर्तमान में दुनिया भर में इसके लगभग 110 कर्मचारी हैं, जिनमें से 70 इसके तेल अवीव कार्यालय में काम करते हैं। ज़ेनिटी के ग्राहकों में कई फॉर्च्यून 100 और यहाँ तक कि फॉर्च्यून 5 कंपनियाँ भी शामिल हैं।

विषय पर वापस जाएँ

वीएनए

स्रोत: https://tuoitre.vn/lo-hong-nghiem-trong-tren-chatgpt-va-loat-tro-ly-ai-nguoi-dung-bi-lua-dao-lo-thong-tin-20250811131018876.htm