Poważna luka w zabezpieczeniach ChatGPT i serii asystentów AI: użytkownicy padają ofiarą oszustw, dochodzi do wycieku informacji...

Izraelska firma zajmująca się bezpieczeństwem cybernetycznym Zenity właśnie ujawniła pierwszą lukę „Zero Click” odkrytą w usłudze ChatGPT firmy OpenAI.

Ten typ ataku nie wymaga od użytkownika wykonywania żadnej czynności, takiej jak kliknięcie łącza, otwarcie pliku czy podjęcie jakiejkolwiek celowej interakcji, ale mimo to może umożliwić uzyskanie dostępu do kont i wyciek poufnych danych.

Mikhail Bergori, współzałożyciel i dyrektor techniczny firmy Zenity, pokazał na własne oczy, jak haker, znając jedynie adres e-mail użytkownika, może przejąć całkowitą kontrolę nad konwersacjami, w tym nad ich wcześniejszymi i przyszłymi treściami, zmieniać cel konwersacji, a nawet manipulować ChatGPT, aby działać na korzyść hakera.

W swojej prezentacji badacze pokazali, że zainfekowany ChatGPT może zostać przekształcony w „złośliwego aktora”, który działa w ukryciu przeciwko użytkownikom. Hakerzy mogą sprawić, że ChatGPT będzie sugerował użytkownikom pobieranie oprogramowania zainfekowanego wirusem, udzielał mylących porad biznesowych lub uzyskiwał dostęp do plików przechowywanych na Dysku Google, jeśli konto użytkownika jest połączone. Wszystko to dzieje się bez wiedzy użytkownika.

Luka została w pełni załatana dopiero po tym, jak Zenity powiadomiło OpenAI.

Oprócz ChatGPT, Zenity przeprowadził również podobne ataki na inne popularne platformy asystentów AI. W Copilot Studio firmy Microsoft badacze odkryli sposób na wyciek całych baz danych CRM.

W przypadku Salesforce Einstein hakerzy mogą tworzyć fałszywe prośby o usługę, aby przekierowywać całą komunikację z klientami na kontrolowane przez siebie adresy e-mail.

Google Gemini i Microsoft 365 Copilot również stały się „wrogimi aktorami” przeprowadzającymi ataki phishingowe i ujawniającymi poufne informacje za pośrednictwem wiadomości e-mail i wydarzeń w kalendarzu.

W innym przykładzie narzędzie do tworzenia oprogramowania Cursor, zintegrowane z Jira MCP, zostało również wykorzystane do kradzieży danych uwierzytelniających programistów za pomocą fałszywych „zgłoszeń”.

Zenity poinformowało, że niektóre firmy, takie jak OpenAI i Microsoft, szybko opublikowały poprawki po otrzymaniu alertu. Inne jednak odmówiły zajęcia się tym problemem, argumentując, że zachowanie to jest raczej „cechą projektu”, a nie luką w zabezpieczeniach.

Według Michaiła Bergoriego, największym wyzwaniem jest to, że asystenci AI nie tylko wykonują proste zadania, ale stają się „cyfrowymi bytami” reprezentującymi użytkowników – zdolnymi do otwierania folderów, wysyłania plików i dostępu do wiadomości e-mail. Ostrzegł, że to „raj” dla hakerów, z mnóstwem możliwości wykorzystania.

Ben Kaliger, współzałożyciel i prezes Zenity, podkreślił, że badania firmy pokazują, iż obecne metody bezpieczeństwa nie są już odpowiednie dla sposobu działania asystentów AI. Zaapelował do organizacji o zmianę podejścia i inwestowanie w specjalistyczne rozwiązania, które umożliwią kontrolowanie i monitorowanie działań tych „agentów”.