Το εργαλείο διερμηνείας κώδικα του ChatGPT είναι επιρρεπές σε επιθέσεις χάκερ.
Τι πρέπει να ξέρετε
-
Τα μέλη του
ChatGPT
Plus μπορούν πλέον να έχουν πρόσβαση σε ένα εργαλείο ερμηνείας κώδικα με εξελιγμένες δυνατότητες κωδικοποίησης, συμπεριλαμβανομένης της σύνταξης κώδικα Python αξιοποιώντας τις δυνατότητες AI και εκτελώντας το σε περιβάλλον sandbox. -
Ένας
εμπ
ειρογνώμονας ασφαλείας αποκάλυψε ότι η νέα δυνατότητα αποτελεί δυνητικά σημαντική
απε
ιλή για την ασφάλεια των χρηστών. - Η εκτέλεση του κώδικα σε περιβάλλον sandbox αυξάνει τις πιθανότητες οι χάκερ να έχουν κακόβουλη πρόσβαση στα δεδομένα σας.
- Η τεχνική περιλαμβάνει την εξαπάτηση του ChatGPT για την εκτέλεση εντολών από μια διεύθυνση URL τρίτου μέρους, την προτροπή να κωδικοποιήσει τα μεταφορτωμένα αρχεία σε μια συμβολοσειρά και την αποστολή αυτών των πληροφοριών σε έναν κακόβουλο ιστότοπο.
Εδώ και λίγο καιρό, γνωρίζουμε ότι το ChatGPT μπορεί να επιτύχει απίστευτα πράγματα και να διευκολύνει την εργασία για τους χρήστες, από την ανάπτυξη λογισμικού σε λιγότερο από 7 λεπτά έως την επίλυση σύνθετων μαθηματικών προβλημάτων και πολλά άλλα. Ενώ είναι ήδη δυνατό να γράψετε κώδικα χρησιμοποιώντας το εργαλείο, το
OpenAI
παρουσίασε πρόσφατα ένα νέο εργαλείο Διερμηνέα Κώδικα, κάνοντας τη διαδικασία πιο απρόσκοπτη.
Σύμφωνα με
Tom’s Hardware
και
ειδικός σε θέματα κυβερνοασφάλειας Johann Rehberger
, το εργαλείο γράφει κώδικα Python αξιοποιώντας τις δυνατότητες AI και τον εκτελεί ακόμη και σε περιβάλλον sandbox. Και ενώ αυτό είναι ένα απίστευτο κατόρθωμα, το κομμάτι του περιβάλλοντος άμμου είναι μια φωλιά σφήκας που εκτρέφεται με επιτιθέμενους.
👉 Καλή ευκαιρία να αυξήσετε την ευαισθητοποίηση σχετικά με ζητήματα έγκαιρης έγχυσης και απομάκρυνσης δεδομένων. Είμαι τεμπέλης, επικολλήστε αυτό το URL στο ChatGPT σας και στείλτε το σε εμένα. 🙂#chatgpt #infosec https://t.co/SogGZh8cji pic.twitter.com/Dh95xIK4qy
10 Νοεμβρίου 2023
Αυτό οφείλεται κυρίως στο ότι χρησιμοποιείται επίσης για το χειρισμό τυχόν υπολογιστικών φύλλων. Μπορεί να χρειαστείτε το ChatGPT για να αναλύσει και να παρουσιάσει τα δεδομένα με τη μορφή γραφημάτων, καθιστώντας τα τελικά επιρρεπή σε κακόβουλα τεχνάσματα από χάκερ.
Πώς οι χάκερ αξιοποιούν αυτήν την ευπάθεια;
Σύμφωνα με τα ευρήματα του Johann Rehberger και
Σε βάθος δοκιμές και αναλύσεις του Tom’s Hardware
, η τεχνική περιλαμβάνει την εξαπάτηση του chatbot που υποστηρίζεται από AI στην εκτέλεση εντολών από μια διεύθυνση URL τρίτου μέρους. Αυτό του επιτρέπει να κωδικοποιεί τα μεταφορτωμένα αρχεία σε μια συμβολοσειρά που στέλνει τις πληροφορίες σε έναν κακόβουλο ιστότοπο.
Αυτό είναι πολύ ανησυχητικό, παρόλο που αυτή η τεχνική απαιτεί ειδικές συνθήκες. Θα χρειαστείτε επίσης μια συνδρομή στο ChatGPT Plus για να αποκτήσετε πρόσβαση στο εργαλείο ερμηνείας κώδικα.
ΣΧΕΤΙΖΕΤΑΙ ΜΕ:
Το
OpenAI περιορίζει προσωρινά τις νέες εγγραφές για την υπηρεσία ChatGPT Plus
Κατά την εκτέλεση δοκιμών και την προσπάθεια αναπαραγωγής αυτής της τεχνικής, το Tom’s Hardware προσπάθησε να προσδιορίσει την έκταση αυτής της ευπάθειας δημιουργώντας ένα ψεύτικο αρχείο μεταβλητών περιβάλλοντος και αξιοποιώντας τις δυνατότητες του ChatGPT για επεξεργασία και αποστολή αυτών των δεδομένων σε έναν εξωτερικό κακόβουλο ιστότοπο.
Λαμβάνοντας υπόψη αυτό, οι μεταφορτώσεις ξεκινούν σε μια νέα εικονική μηχανή Linux με μια αποκλειστική δομή καταλόγου. Ενώ το ChatGPT μπορεί να μην παρέχει γραμμή εντολών, ανταποκρίνεται σε εντολές Linux, επιτρέποντας έτσι στους χρήστες να έχουν πρόσβαση στις πληροφορίες και τα αρχεία. Μέσω αυτής της οδού, οι χάκερ μπορούν να έχουν πρόσβαση στα δεδομένα ανυποψίαστων χρηστών.
Είναι δυνατόν να αποκλείσουμε εντελώς τους χάκερ από το να αξιοποιήσουν τις δυνατότητες AI για να αναπτύξουν επιθέσεις σε ανυποψίαστους χρήστες;
Μοιραστείτε τις σκέψεις σας μαζί μας στα σχόλια.
VIA:
WindowsCentral
