Сегодня 07 июня 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

В плагинах ChatGPT нашли уязвимости, позволявшие взламывать учётные записи на сторонних платформах

Компания Salt Security обнаружила в некоторых плагинах ChatGPT критические уязвимости, через которые злоумышленники могли получать несанкционированный доступ к учётным записям пользователей на сторонних платформах. Речь идёт о плагинах, позволяющих ChatGPT выполнять такие операции, как, например, правка кода на GitHub или получение данных с «Google Диска».

 Источник изображения: ilgmyzin / unsplash.com

Источник изображения: ilgmyzin / unsplash.com

Плагины ChatGPT — это альтернативные версии чат-бота на основе искусственного интеллекта, и публиковать их может любой разработчик. Эксперты Salt Security обнаружили три уязвимости. Первая касается процесса установки плагина — ChatGPT отправляет пользователю код подтверждения установки, но у злоумышленников есть возможность подменять его кодом для установки вредоносного плагина.

Вторая уязвимость обнаружена на платформе PluginLab, которая используется для разработки плагинов ChatGPT, — здесь отсутствовала достаточная защита при аутентификации пользователей, в результате чего хакеры могли перехватывать доступ к их учётным записям. Одним из плагинов, которые затронула эта проблема, был AskTheCode, предусматривающий интеграцию ChatGPT и GitHub.

Третья уязвимость обнаружилась в нескольких плагинах, и в её основу легли манипуляции с перенаправлениями при авторизации через протокол OAuth. Она тоже позволяла перехватывать доступ к учётным записям на сторонних платформах. Плагины не имели механизма проверки URL-адресов при перенаправлении, что позволяло злоумышленникам отправлять пользователям вредоносные ссылки для кражи их аккаунтов.

Salt Security заверила, что следовала стандартной процедуре и уведомила о своих открытиях OpenAI и другие стороны. Ошибки были исправлены оперативно, и свидетельств о наличии эксплойтов обнаружить не удалось.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Mundfish выпустит эвакуационный шутер The Cube во вселенной Atomic Heart 4 ч.
Capcom представила Resident Evil Requiem, которая станет «началом новой эры хорроров на выживание» — первый трейлер и дата выхода 4 ч.
«Выведет жанр на новый уровень»: Mundfish анонсировала Atomic Heart 2 6 ч.
Новая статья: Elden Ring Nightreign — вместе весело страдать. Рецензия 7 ч.
Windows 11 будет автоматически замедлять процессор, когда компьютер не используется 11 ч.
На Samsung Galaxy Watch появилось приложение «Яндекс Музыка» 11 ч.
Ремейк Persona 4 скоро выйдет из тени — журналисты рассекретили дату анонса 11 ч.
AMD продолжает шоппинг: компания купила стартап Brium для борьбы с доминированием NVIDIA 12 ч.
В открытый доступ попал релизный трейлер дополнения Lies of P: Overture — аддон выйдет со дня на день 12 ч.
Apple разработала ИИ, выявляющий нетипичные аспекты устной речи — это поможет диагностировать заболевания 13 ч.
«Аквариус» анонсировала защищённую платформу СХД S2-1 с российским процессором Baikal-S 6 ч.
NASA повысило вероятность столкновения астероида 2024 YR4 с Луной через 7 лет 9 ч.
AMD купила команду разработчика ИИ-чипов Untether AI, но не саму компанию, которая тут же закрылась 13 ч.
В этом году МТС отключит половину своих базовых станций 3G в России 16 ч.
Для создания российской космической станции «Роскосмос» заказал ещё три ракеты «Ангара-А5М» 17 ч.
Intel признала, что изначально разрабатывала ангстремные техпроцессы 18A и 14A для себя, а не сторонних заказчиков 17 ч.
После рекордного обвала акции Tesla пошли вверх, поскольку Трамп и Маск готовят примирение 18 ч.
Японский лунный аппарат Resilience с мини-луноходом долетел до Луны — и мгновенно разобрался 18 ч.
В Китае испытали сверхзащищённый канал уникальной квантовой связи с взлетающей ракетой 18 ч.
Huawei и XPeng представили гигантский 87-дюймовый проекционный дисплей для авто 19 ч.