Salt Security descobriu vulnerabilidades críticas em alguns plug-ins ChatGPT por meio dos quais invasores podem obter acesso não autorizado a contas de usuários em plataformas de terceiros. Estamos falando de plugins que permitem ao ChatGPT realizar operações como, por exemplo, editar código no GitHub ou recuperar dados do Google Drive.
Os plug-ins ChatGPT são versões alternativas de um chatbot com tecnologia de IA e podem ser publicados por qualquer desenvolvedor. Os especialistas da Salt Security descobriram três vulnerabilidades. A primeira diz respeito ao processo de instalação do plugin – o ChatGPT envia o código de confirmação da instalação ao usuário, mas os invasores têm a oportunidade de substituí-lo por um código para instalar um plugin malicioso.
A segunda vulnerabilidade foi descoberta na plataforma PluginLab, que é utilizada para desenvolver plugins ChatGPT, não havia proteção suficiente para autenticação do usuário, fazendo com que hackers pudessem interceptar o acesso às suas contas. Um dos plugins afetados por esse problema foi o AskTheCode, que fornece integração entre ChatGPT e GitHub.
A terceira vulnerabilidade foi descoberta em diversos plugins e foi baseada em manipulações com redirecionamentos durante a autorização através do protocolo OAuth. Também possibilitou interceptar o acesso a contas em plataformas de terceiros. Os plug-ins não possuíam mecanismo para verificar URLs durante o redirecionamento, o que permitia que invasores enviassem links maliciosos aos usuários para roubar suas contas.
A Salt Security disse que seguiu o procedimento padrão e notificou a OpenAI e outras partes sobre suas descobertas. Os erros foram corrigidos prontamente e nenhuma evidência de explorações foi encontrada.
O Bitcoin sofreu um declínio acentuado, apesar do crescimento contínuo da aceitação no mundo financeiro.…
Como resultado dos danos causados a vários cabos submarinos de Internet, grandes partes da África…
Os anunciantes que promovem seus produtos e serviços no TikTok para atingir o público mais…
A renomada montadora alemã Mercedes-Benz e a Apptronik, desenvolvedora de robôs humanóides de uso geral,…
Graças aos cortes efetivos na produção no ano passado, os preços das memórias de computador…
A operadora francesa de data centers Data4, juntamente com a Universidade de Paris-Saclay, está trabalhando…