Сегодня 16 мая 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

В плагинах ChatGPT нашли уязвимости, позволявшие взламывать учётные записи на сторонних платформах

Компания Salt Security обнаружила в некоторых плагинах ChatGPT критические уязвимости, через которые злоумышленники могли получать несанкционированный доступ к учётным записям пользователей на сторонних платформах. Речь идёт о плагинах, позволяющих ChatGPT выполнять такие операции, как, например, правка кода на GitHub или получение данных с «Google Диска».

 Источник изображения: ilgmyzin / unsplash.com

Источник изображения: ilgmyzin / unsplash.com

Плагины ChatGPT — это альтернативные версии чат-бота на основе искусственного интеллекта, и публиковать их может любой разработчик. Эксперты Salt Security обнаружили три уязвимости. Первая касается процесса установки плагина — ChatGPT отправляет пользователю код подтверждения установки, но у злоумышленников есть возможность подменять его кодом для установки вредоносного плагина.

Вторая уязвимость обнаружена на платформе PluginLab, которая используется для разработки плагинов ChatGPT, — здесь отсутствовала достаточная защита при аутентификации пользователей, в результате чего хакеры могли перехватывать доступ к их учётным записям. Одним из плагинов, которые затронула эта проблема, был AskTheCode, предусматривающий интеграцию ChatGPT и GitHub.

Третья уязвимость обнаружилась в нескольких плагинах, и в её основу легли манипуляции с перенаправлениями при авторизации через протокол OAuth. Она тоже позволяла перехватывать доступ к учётным записям на сторонних платформах. Плагины не имели механизма проверки URL-адресов при перенаправлении, что позволяло злоумышленникам отправлять пользователям вредоносные ссылки для кражи их аккаунтов.

Salt Security заверила, что следовала стандартной процедуре и уведомила о своих открытиях OpenAI и другие стороны. Ошибки были исправлены оперативно, и свидетельств о наличии эксплойтов обнаружить не удалось.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
TikTok внедрил функцию медитаций — это поможет пользователям лучше спать по ночам 2 ч.
«Гарда Маскирование» теперь можно использовать для работы с документами граждан Казахстана 3 ч.
Для Kingdom Come: Deliverance 2 вышло сюжетное дополнение Brushes with Death, а новый патч добавил в игру скачки 4 ч.
Евросоюз запустил расследование против TikTok за размещение рекламы с нарушением законов 4 ч.
Почтовый сервер RuPost дополнился расширенными средствами мониторинга и системой трассировки писем 5 ч.
Новый трейлер подтвердил дату выхода Stellar Blade на ПК — системные требования, региональные ограничения и Denuvo 6 ч.
Apple выпустила CarPlay Ultra — бета-тестерами станут владельцы Aston Martin за четверть миллиона долларов 7 ч.
Microsoft лишит сторонних разработчиков доступа к API поисковика Bing, но будут исключения 7 ч.
В работе Рунета снова произошёл масштабный сбой 8 ч.
Крупнейший чёрный рынок в интернете закрылся стараниями Telegram 8 ч.
Новая статья: Обзор игрового QD-OLED 4K-монитора ASUS ROG Swift OLED PG27UCDM: «полный фарш» 37 мин.
«Мы быстрее, чем Mac»: Microsoft заявила о превосходстве Copilot+ PC над компьютерами Apple, но это лукавство 46 мин.
Apple снова признана самым дорогим брендом в мире — Nvidia влетела в пятёрку лидеров 52 мин.
Microsoft прекратила производство Surface Laptop Studio 2, не представив преемника 55 мин.
Autonomous представила дизайнерский домашний ИИ-суперкомпьютер за $40 000 — его функциональность вызывает вопросы 57 мин.
Новая статья: Обзор умных часов HUAWEI WATCH FIT 4 Pro: это уже другая лига 3 ч.
Huawei представила планшет MatePad Pro 12.2 (2025) с экраном Tandem OLED PaperMatte, защищающим зрение 3 ч.
Sony представила флагманские беспроводные наушники WH-1000XM6 — $449 и долгожданный складной дизайн 5 ч.
NASA чудом спасло «Вояджер-1»: признанные неисправными 20 лет назад двигатели удалось оживить 5 ч.
Смартфоны Honor 400 и 400 Pro «засветились» на сайте Honor со всеми подробностями за неделю до анонса 6 ч.