Súlyos sebezhetőség a ChatGPT-n és számos mesterséges intelligencia asszisztensen: Felhasználókat átvernek, információk szivárognak ki...

Az izraeli Zenity kiberbiztonsági cég nemrégiben nyilvánosságra hozta az OpenAI ChatGPT szolgáltatásában felfedezett első „Zero Click” sebezhetőséget.

Az ilyen típusú támadás nem követeli meg a felhasználóktól, hogy bármilyen műveletet hajtsanak végre, például egy linkre kattintsanak, megnyitjanak egy fájlt, vagy bármilyen szándékos interakciót folytassanak, de továbbra is hozzáférhetnek fiókokhoz, és kiszivárogtathatnak érzékeny adatokat.

Mikhail Bergori, a Zenity társalapítója és műszaki igazgatója első kézből mutatta be, hogyan veheti át egy hacker a felhasználó e-mail címével teljes irányítást a beszélgetések felett – beleértve a múltbeli és jövőbeli tartalmakat is, hogyan változtathatja meg a beszélgetés célját, sőt, még a ChatGPT-t is manipulálhatja, hogy a hacker javára cselekedjen.

Előadásukban a kutatók kimutatták, hogy egy feltört ChatGPT „rosszindulatú szereplővé” alakítható, amely titokban a felhasználók ellen tevékenykedik. A hackerek arra is rávehetik a ChatGPT-t, hogy vírussal fertőzött szoftverek letöltését javasolja a felhasználóknak, félrevezető üzleti tanácsokat adjon, vagy hozzáférjen a Google Drive-on tárolt fájlokhoz, ha a felhasználó fiókja csatlakoztatva van. Mindez a felhasználó tudta nélkül történik.

A sebezhetőséget csak azután javították ki teljesen, hogy a Zenity értesítette az OpenAI-t.

A ChatGPT mellett a Zenity más népszerű mesterséges intelligencia asszisztens platformok ellen is bebizonyított hasonló támadásokat. A Microsoft Copilot Studio programjában a kutatók felfedeztek egy módszert teljes CRM-adatbázisok kiszivárogtatására.

A Salesforce Einstein esetében a hackerek hamis szolgáltatáskéréseket hozhatnak létre, hogy az összes ügyfélkommunikációt a saját irányításuk alatt álló e-mail címekre irányítsák át.

A Google Gemini és a Microsoft 365 Copilot szintén „ellenséges szereplőkké” váltak, adathalász támadásokat hajtottak végre, és érzékeny információkat szivárogtattak ki e-maileken és naptári eseményeken keresztül.

Egy másik példában a Cursor szoftverfejlesztő eszközt, amikor az integrálva volt a Jira MCP-vel, szintén kihasználták fejlesztői hitelesítő adatok ellopására hamis „ticketek” segítségével.

A Zenity szerint néhány vállalat, mint például az OpenAI és a Microsoft, gyorsan kiadott javításokat a figyelmeztetést követően. Mások azonban nem voltak hajlandók foglalkozni a problémával, azzal érvelve, hogy a viselkedés inkább „tervezési funkció”, mint biztonsági rés.

Mikhail Bergori szerint a nagy kihívás most az, hogy a mesterséges intelligencia által támogatott asszisztensek nem csupán egyszerű feladatokat látnak el, hanem „digitális entitásokká” válnak, amelyek a felhasználókat képviselik – képesek mappákat megnyitni, fájlokat küldeni és e-mailekhez hozzáférni. Figyelmeztetett, hogy ez olyan, mint a hackerek „paradicsoma”, ahol rengeteg kihasználási lehetőség rejlik.

Ben Kaliger, a Zenity társalapítója és vezérigazgatója hangsúlyozta, hogy a vállalat kutatása azt mutatja, hogy a jelenlegi biztonsági módszerek már nem alkalmasak a mesterséges intelligencia asszisztensek működésére. Felszólította a szervezeteket, hogy változtassanak a megközelítésükön, és fektessenek be speciális megoldásokba, hogy képesek legyenek ellenőrizni és felügyelni ezen „ügynökök” tevékenységét.