Сегодня 18 сентября 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

В плагинах ChatGPT нашли уязвимости, позволявшие взламывать учётные записи на сторонних платформах

Компания Salt Security обнаружила в некоторых плагинах ChatGPT критические уязвимости, через которые злоумышленники могли получать несанкционированный доступ к учётным записям пользователей на сторонних платформах. Речь идёт о плагинах, позволяющих ChatGPT выполнять такие операции, как, например, правка кода на GitHub или получение данных с «Google Диска».

 Источник изображения: ilgmyzin / unsplash.com

Источник изображения: ilgmyzin / unsplash.com

Плагины ChatGPT — это альтернативные версии чат-бота на основе искусственного интеллекта, и публиковать их может любой разработчик. Эксперты Salt Security обнаружили три уязвимости. Первая касается процесса установки плагина — ChatGPT отправляет пользователю код подтверждения установки, но у злоумышленников есть возможность подменять его кодом для установки вредоносного плагина.

Вторая уязвимость обнаружена на платформе PluginLab, которая используется для разработки плагинов ChatGPT, — здесь отсутствовала достаточная защита при аутентификации пользователей, в результате чего хакеры могли перехватывать доступ к их учётным записям. Одним из плагинов, которые затронула эта проблема, был AskTheCode, предусматривающий интеграцию ChatGPT и GitHub.

Третья уязвимость обнаружилась в нескольких плагинах, и в её основу легли манипуляции с перенаправлениями при авторизации через протокол OAuth. Она тоже позволяла перехватывать доступ к учётным записям на сторонних платформах. Плагины не имели механизма проверки URL-адресов при перенаправлении, что позволяло злоумышленникам отправлять пользователям вредоносные ссылки для кражи их аккаунтов.

Salt Security заверила, что следовала стандартной процедуре и уведомила о своих открытиях OpenAI и другие стороны. Ошибки были исправлены оперативно, и свидетельств о наличии эксплойтов обнаружить не удалось.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
С каждым годом переносить эксклюзивы PlayStation на ПК для Sony становится всё выгоднее 18 мин.
Градостроительная стратегия Frostpunk 2 вышла на консолях, а версия для ПК получила полную поддержку геймпадов 30 мин.
Split Fiction стала первой в истории игрой, удостоившейся престижной премии «Выдающийся шведский дизайн» — награду вручил принц Швеции 58 мин.
Энтузиасты докопались до причин лагов и статтеров на ноутбуках Asus ROG — виноваты ошибки в BIOS 2 ч.
Китай прекратил антимонопольное расследование по Google, чтобы бросить все силы против Nvidia 4 ч.
Microsoft обновила «Блокнот», «Ножницы» и Paint в Windows 11 на компьютерах Copilot+ PC 4 ч.
Ставленники Маска создали в xAI «душную» атмосферу — это подрывает боевой дух разработчиков 5 ч.
Valve объявила, когда Steam лишится поддержки 32-разрядной Windows 10 5 ч.
Meta представила редактор виртуальных миров Horizon Studio — метавселенная ускорится и похорошеет 5 ч.
«Настоящая» детективная RPG от экс-разработчиков Disco Elysium сменила название и не только — геймплейный трейлер и скриншоты Tangerine Antarctic 5 ч.
Стартап Carbon3.ai намерен развернуть в Великобритании экологичную суверенную ИИ-инфраструктуру 56 мин.
Intel разработает для NVIDIA кастомные CPU для серверов и ПК, а NVIDIA вложит в Intel $5 млрд 3 ч.
DJI столкнулась с бойкотом со стороны американских чиновников — рынок США закрывается для компании 3 ч.
Hayabusa2 может не суметь взять пробы с астероида 1998 KY26: учёные обсчитались с размерами тела 3 ч.
Giga Computing представила флагманский ИИ-сервер на базе NVIDIA HGX B300 3 ч.
Logitech представила игровую мышь G Pro X2 Superstrike с индуктивными кнопками и обратной связью 3 ч.
Ryzen 7 9800X3D на материнской плате Gigabyte разогнали до 7,3 ГГц — это рекорд для этого процессора 4 ч.
Huawei раскрыла планы по выпуску ИИ-ускорителей Ascend 4 ч.
Xenium X718 — кнопочный мобильный телефон с высокой автономностью и док-станцией 4 ч.
Анонсированы умные очки Oakley Meta Vanguard с защитой IP67 для спортсменов 5 ч.