चैटजीपीटी एटलस उपयोगकर्ताओं का डेटा "स्थायी" मैलवेयर द्वारा चुराया जा सकता है

Người dùng ChatGPT Atlas có thể bị đánh cắp dữ liệu với mã độc vĩnh viễn - 1 — यह भेद्यता हमलावरों को AI की स्वयं की मेमोरी में दुर्भावनापूर्ण कमांड डालने की अनुमति देती है, जिससे एक उपयोगी सुविधा मनमाना कोड चलाने के लिए एक स्थायी हथियार में बदल जाती है (चित्रण फोटो: ST)।

लेयरएक्स सिक्योरिटी की एक रिपोर्ट के अनुसार, यह हमला चैटजीपीटी की स्थायी मेमोरी में दुर्भावनापूर्ण कमांड डालने के लिए क्रॉस-साइट रिक्वेस्ट फोर्जरी (सीएसआरएफ) भेद्यता का फायदा उठाता है।

"मेमोरी" सुविधा, जिसे एआई द्वारा उपयोगकर्ताओं के नाम और वरीयताओं जैसे उपयोगी विवरणों को याद रखने तथा प्रतिक्रियाओं को वैयक्तिकृत करने के लिए डिज़ाइन किया गया था, अब "टूटा" जा सकता है।

एक बार मेमोरी संक्रमित हो जाने पर, ये आदेश स्थायी रूप से बने रहेंगे - जब तक कि उपयोगकर्ता मैन्युअल रूप से उन्हें हटाने के लिए सेटिंग्स में नहीं जाता - और इन्हें कई डिवाइसों और सत्रों में ट्रिगर किया जा सकता है।

लेयरएक्स सिक्योरिटी में सुरक्षा अनुसंधान निदेशक मिशेल लेवी ने कहा, "इस कमजोरी को विशेष रूप से खतरनाक बनाने वाली बात यह है कि यह केवल ब्राउज़र सत्र को ही नहीं, बल्कि एआई की स्थायी मेमोरी को भी निशाना बनाती है।"

लेवी बताते हैं, "सरल शब्दों में कहें तो, एक हमलावर एआई को 'धोखा' देकर उसकी मेमोरी में एक दुर्भावनापूर्ण कमांड लिखवाता है।" "सबसे खतरनाक बात यह है कि यह कमांड एआई में हमेशा के लिए रहता है - भले ही उपयोगकर्ता कंप्यूटर बदल दे, लॉग आउट करके वापस लॉग इन करे, या कोई दूसरा ब्राउज़र इस्तेमाल करे।"

बाद में, जब कोई उपयोगकर्ता पूरी तरह से सामान्य अनुरोध करता है, तो वह गलती से दुर्भावनापूर्ण कोड को ट्रिगर कर सकता है। परिणामस्वरूप, हैकर पृष्ठभूमि में कोड चला सकते हैं, डेटा चुरा सकते हैं, या सिस्टम पर अधिक नियंत्रण प्राप्त कर सकते हैं।"

वर्णित हमले का परिदृश्य काफी सरल है: सबसे पहले, एक उपयोगकर्ता ChatGPT एटलस में लॉग इन करता है। उसे एक दुर्भावनापूर्ण लिंक पर क्लिक करने के लिए उकसाया जाता है, जिसके बाद दुर्भावनापूर्ण साइट गुप्त रूप से एक CSRF अनुरोध ट्रिगर करती है, जो पीड़ित की ChatGPT मेमोरी में चुपचाप दुर्भावनापूर्ण निर्देश डाल देती है।

अंत में, जब कोई उपयोगकर्ता पूरी तरह से वैध क्वेरी करता है, उदाहरण के लिए एआई को कोड लिखने के लिए कहता है, तो दूषित "यादें" ट्रिगर हो जाती हैं।

लेयरएक्स का कहना है कि चैटजीपीटी एटलस में मजबूत एंटी-फिशिंग नियंत्रणों की कमी के कारण यह समस्या और भी गंभीर हो गई है।

100 से अधिक शोषण और फ़िशिंग साइटों के साथ किए गए परीक्षणों में, एटलस ने केवल 5.8% दुर्भावनापूर्ण साइटों को ही ब्लॉक किया।

यह संख्या गूगल क्रोम (47%) या माइक्रोसॉफ्ट एज (53%) की तुलना में बहुत कम है, जिससे एटलस उपयोगकर्ता पारंपरिक ब्राउज़रों की तुलना में हमलों के प्रति "90% तक अधिक असुरक्षित" हो जाते हैं।

यह खोज न्यूरलट्रस्ट द्वारा पहले प्रदर्शित की गई एक अन्य तीव्र मैलवेयर इंजेक्शन भेद्यता के बाद आई है, जो यह बताती है कि एआई ब्राउज़र एक नया आक्रमण मोर्चा बन रहे हैं।

ओपनएआई ने पिछले हफ़्ते ही चैटजीपीटी एटलस वेब ब्राउज़र लॉन्च किया था। यह कोई आश्चर्य की बात नहीं है कि ओपनएआई ने इस ब्राउज़र में चैटजीपीटी आर्टिफिशियल इंटेलिजेंस टूल को एकीकृत किया है, जिससे वेब सर्फिंग के दौरान उपयोगकर्ताओं को बेहतर सहायता मिलती है।

जब भी कोई उपयोगकर्ता चैटजीपीटी एटलस में किसी खोज परिणाम पर क्लिक करता है, तो वेब पेज विंडो के ठीक बगल में एक चैटजीपीटी संवाद बॉक्स प्रकट होता है, जिससे उन्हें देखी जा रही सामग्री से संबंधित प्रश्न पूछने की सुविधा मिलती है, जिससे उनका पढ़ने में समय की बचत होती है।

चैटजीपीटी वेब पेज की सामग्री को सारांशित कर सकता है, ईमेल लिखते समय पाठ को संपादित कर सकता है, या संदर्भ को बेहतर ढंग से फिट करने के लिए इसे फिर से लिखने का सुझाव दे सकता है।

स्रोत: https://dantri.com.vn/cong-nghe/nguoi-dung-chatgpt-atlas-co-the-bi-danh-cap-du-lieu-voi-ma-doc-vinh-vien-20251028111706750.htm