Сегодня 25 апреля 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

В плагинах ChatGPT нашли уязвимости, позволявшие взламывать учётные записи на сторонних платформах

Компания Salt Security обнаружила в некоторых плагинах ChatGPT критические уязвимости, через которые злоумышленники могли получать несанкционированный доступ к учётным записям пользователей на сторонних платформах. Речь идёт о плагинах, позволяющих ChatGPT выполнять такие операции, как, например, правка кода на GitHub или получение данных с «Google Диска».

 Источник изображения: ilgmyzin / unsplash.com

Источник изображения: ilgmyzin / unsplash.com

Плагины ChatGPT — это альтернативные версии чат-бота на основе искусственного интеллекта, и публиковать их может любой разработчик. Эксперты Salt Security обнаружили три уязвимости. Первая касается процесса установки плагина — ChatGPT отправляет пользователю код подтверждения установки, но у злоумышленников есть возможность подменять его кодом для установки вредоносного плагина.

Вторая уязвимость обнаружена на платформе PluginLab, которая используется для разработки плагинов ChatGPT, — здесь отсутствовала достаточная защита при аутентификации пользователей, в результате чего хакеры могли перехватывать доступ к их учётным записям. Одним из плагинов, которые затронула эта проблема, был AskTheCode, предусматривающий интеграцию ChatGPT и GitHub.

Третья уязвимость обнаружилась в нескольких плагинах, и в её основу легли манипуляции с перенаправлениями при авторизации через протокол OAuth. Она тоже позволяла перехватывать доступ к учётным записям на сторонних платформах. Плагины не имели механизма проверки URL-адресов при перенаправлении, что позволяло злоумышленникам отправлять пользователям вредоносные ссылки для кражи их аккаунтов.

Salt Security заверила, что следовала стандартной процедуре и уведомила о своих открытиях OpenAI и другие стороны. Ошибки были исправлены оперативно, и свидетельств о наличии эксплойтов обнаружить не удалось.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
В The Elder Scrolls IV: Oblivion Remastered сохранился древний баг, который позволяет пройти игру за считаные минуты 8 мин.
Yahoo тоже попытается заполучить Chrome, если представится возможность 30 мин.
Продажи ремейка Resident Evil 4 достигли 10 миллионов копий — рекорд Resident Evil Village не устоял 3 ч.
YouTube выручила $8,9 млрд и отпраздновала 20-летие, объявив о новом рекорде загрузок видео 5 ч.
Meta ограничит спамерам охват аудитории и монетизацию в Facebook 7 ч.
Стараниями Илона Маска IBM потеряла миллионные контракты, но всё равно превзошла ожидания аналитиков по итогам квартала 12 ч.
Remedy подтвердила дату выхода и показала много геймплея кооперативного шутера FBC: Firebreak во вселенной Control 13 ч.
Epic Games Store запустил на PC, Android и iOS раздачу комедийного приключения Chuchel от создателей Machinarium и Botanicula 14 ч.
Европейские правозащитники обвинили Ubisoft в незаконном сборе данных игроков 16 ч.
Браузер Chrome для Android наконец-то научился открывать PDF-файлы 16 ч.
Китай освободил часть импортируемых из США чипов от повышенных пошлин, но это не точно 26 мин.
TSMC наладит производство гигантских чипов — с киловаттной мощностью и в 40 раз быстрее современных 35 мин.
Трамп провоцирует утечку мозгов из США, и теперь этому есть научное подтверждение 42 мин.
Китай намерен слетать на Марс за образцами грунта и ищет желающих присоединиться 2 ч.
Квартальная прибыль материнской компании Google взлетела на 46 % благодаря ИИ и рекламе 2 ч.
Intel отныне будет исповедовать комплексный подход к освоению рынка ИИ, как Nvidia 3 ч.
Samsung Galaxy S25 Ultra как инструмент тревел-блогера 3 ч.
Экономическая неопределённость способствовала росту спроса на процессоры Intel прежних поколений 4 ч.
Intel удержала выручку от падения, пообещала уволить лишний персонал и разочаровала инвесторов прогнозами на второй квартал 5 ч.
Meta подтвердила массовые сокращения в Reality Labs, затронувшие VR-разработчиков 7 ч.