O vulnerabilitate de securitate recent corectată în aplicația ChatGPT pentru macOS de la OpenAI ar fi putut permite atacatorilor să instaleze spyware persistent în memoria uneltelor de inteligență artificială.
TLDR
- Vulnerabilitate în aplicația ChatGPT pentru macOS
- Atacatorii pot instala spyware de lungă durată
- Exfiltrare continuă de date prin funcția Memory
- Corecție disponibilă în versiunea 1.2024.247 a ChatGPT
Vulnerabilitatea SpAIware
O vulnerabilitate recent corectată a fost descoperită în ChatGPT pentru macOS, permițând atacatorilor să integreze spyware de lungă durată în memoria AI-ului. Această tehnică, numită SpAIware, ar putea facilita exfiltrarea continuă de date, inclusiv orice informație tastată de utilizator sau răspunsurile primite de la ChatGPT, precum și orice sesiuni viitoare de chat. Cercetătorul de securitate Johann Rehberger a explicat că vulnerabilitatea abuzează de o funcție numită Memory, care permite ChatGPT să-și amintească anumite informații pe parcursul mai multor conversații.
Atacul și impactul
În scenariul unui atac ipotetic, un utilizator ar putea fi păcălit să viziteze un site malițios sau să descarce un document capcană care este analizat ulterior folosind ChatGPT pentru a actualiza memoria. Website-ul sau documentul ar putea conține instrucțiuni pentru a trimite clandestin toate conversațiile viitoare către un server controlat de atacator.
Protejarea împotriva atacurilor similare
OpenAI a adus o soluție pentru această problemă în versiunea 1.2024.247 a ChatGPT-ului prin blocarea vectorului de exfiltrare. Utilizatorii ChatGPT ar trebui să revizuiască regulat amintirile pe care sistemul le stochează despre ei pentru a verifica prezența unor informații suspicioase sau incorecte și să le șteargă. Acest lanț de atac demonstrează pericolele pe care le aduce memoria pe termen lung, automat adăugată unui sistem.
Recomandări de siguranță
Pentru a se proteja împotriva vulnerabilităților similare, utilizatorii trebuie să aibă grijă cu site-urile pe care le vizitează și documentele pe care le descarcă. Este esențial să actualizați aplicațiile la cele mai recente versiuni disponibile și să activați protocoalele de securitate avansate în setările aplicației. Legatura dintre cuvintele malițioase stocate în amintirea ChatGPT și atacurile de exfiltrare de date subliniază necesitatea supravegherii constante și a verificării amintirilor stocate de astfel de instrumente AI.
Sursa articolului:
https://thehackernews.com/2024/09/chatgpt-macos-flaw-couldve-enabled-long.html
Pe Threat Spotting apar articole identificate de specialiști în securitate cibernetică și simplificate prin inteligență artificială (AI). De aceea, e bine să consultați sursele oficiale întrucât tehnologiile AI curente pot genera informații incomplete sau parțial adevărate. Citește mai multe despre proiect aici.
