Poważna luka w zabezpieczeniach ChatGPT i serii asystentów AI: użytkownicy padają ofiarą oszustw, dochodzi do wycieku informacji...

Izraelska firma zajmująca się bezpieczeństwem cybernetycznym Zenity ujawniła pierwszą lukę „Zero Click” odkrytą w usłudze ChatGPT firmy OpenAI.

Ten rodzaj ataku nie wymaga od użytkownika wykonania żadnej czynności, takiej jak kliknięcie łącza, otwarcie pliku czy podjęcie jakiejkolwiek celowej interakcji, ale mimo to może doprowadzić do uzyskania dostępu do kont i wycieku poufnych danych.

Mikhail Bergori, współzałożyciel i dyrektor ds. technologii w firmie Zenity, pokazał na własne oczy, jak haker, znając jedynie adres e-mail użytkownika, może przejąć całkowitą kontrolę nad rozmowami, w tym nad ich wcześniejszymi i przyszłymi treściami, zmieniać ich cel, a nawet manipulować ChatGPT, aby działało zgodnie z jego życzeniami.

W swojej prezentacji badacze pokazali, że zainfekowany ChatGPT może zostać przekształcony w „złośliwego aktora”, który działa w ukryciu przeciwko użytkownikom. Hakerzy mogą sprawić, że ChatGPT będzie sugerował użytkownikom pobieranie oprogramowania zawierającego wirusy, udzielał mylących porad biznesowych lub uzyskiwał dostęp do plików przechowywanych na Dysku Google, jeśli konto użytkownika jest połączone. Wszystko to dzieje się bez wiedzy użytkownika.

Luka została w pełni załatana dopiero po tym, jak Zenity powiadomiło OpenAI.

Oprócz ChatGPT, Zenity przeprowadził również podobne ataki na inne popularne platformy asystentów AI. W Copilot Studio firmy Microsoft badacze odkryli, jak wyciekać całe bazy danych CRM.

W przypadku Salesforce Einstein hakerzy mogą tworzyć fałszywe prośby o usługę, aby przekierowywać całą komunikację z klientami na kontrolowane przez siebie adresy e-mail.

Google Gemini i Microsoft 365 Copilot również stały się „wrogimi aktorami” przeprowadzającymi ataki phishingowe i ujawniającymi poufne informacje za pośrednictwem wiadomości e-mail i wydarzeń w kalendarzu.

W innym przykładzie narzędzie do tworzenia oprogramowania Cursor, po zintegrowaniu z Jira MCP, zostało wykorzystane do kradzieży danych uwierzytelniających programistów za pomocą fałszywych „zgłoszeń”.

Zenity poinformowało, że niektóre firmy, takie jak OpenAI i Microsoft, szybko opublikowały poprawki po otrzymaniu alertu. Inne jednak odmówiły zajęcia się tym problemem, argumentując, że zachowanie to było „cechą projektu”, a nie luką w zabezpieczeniach.

Według Michaiła Bergoriego, największym wyzwaniem jest to, że asystenci AI nie tylko wykonują proste zadania, ale stają się „cyfrowymi bytami” reprezentującymi użytkowników – zdolnymi do otwierania folderów, wysyłania plików i dostępu do poczty elektronicznej. Ostrzegł, że to jak „raj” dla hakerów, z mnóstwem możliwości wykorzystania.

Współzałożyciel i prezes Zenity, Ben Kaliger, powiedział, że badania firmy pokazują, że obecne metody bezpieczeństwa nie są już odpowiednie dla sposobu działania asystentów AI. Wezwał organizacje do zmiany podejścia i zainwestowania w specjalistyczne rozwiązania do kontrolowania i monitorowania aktywności tych „agentów”.