Сегодня 10 сентября 2024
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

В плагинах ChatGPT нашли уязвимости, позволявшие взламывать учётные записи на сторонних платформах

Компания Salt Security обнаружила в некоторых плагинах ChatGPT критические уязвимости, через которые злоумышленники могли получать несанкционированный доступ к учётным записям пользователей на сторонних платформах. Речь идёт о плагинах, позволяющих ChatGPT выполнять такие операции, как, например, правка кода на GitHub или получение данных с «Google Диска».

 Источник изображения: ilgmyzin / unsplash.com

Источник изображения: ilgmyzin / unsplash.com

Плагины ChatGPT — это альтернативные версии чат-бота на основе искусственного интеллекта, и публиковать их может любой разработчик. Эксперты Salt Security обнаружили три уязвимости. Первая касается процесса установки плагина — ChatGPT отправляет пользователю код подтверждения установки, но у злоумышленников есть возможность подменять его кодом для установки вредоносного плагина.

Вторая уязвимость обнаружена на платформе PluginLab, которая используется для разработки плагинов ChatGPT, — здесь отсутствовала достаточная защита при аутентификации пользователей, в результате чего хакеры могли перехватывать доступ к их учётным записям. Одним из плагинов, которые затронула эта проблема, был AskTheCode, предусматривающий интеграцию ChatGPT и GitHub.

Третья уязвимость обнаружилась в нескольких плагинах, и в её основу легли манипуляции с перенаправлениями при авторизации через протокол OAuth. Она тоже позволяла перехватывать доступ к учётным записям на сторонних платформах. Плагины не имели механизма проверки URL-адресов при перенаправлении, что позволяло злоумышленникам отправлять пользователям вредоносные ссылки для кражи их аккаунтов.

Salt Security заверила, что следовала стандартной процедуре и уведомила о своих открытиях OpenAI и другие стороны. Ошибки были исправлены оперативно, и свидетельств о наличии эксплойтов обнаружить не удалось.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Вечерний 3DNews
Каждый будний вечер мы рассылаем сводку новостей без белиберды и рекламы. Две минуты на чтение — и вы в курсе главных событий.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Календарь релизов — 9–15 сентября: Warhammer 40,000: Space Marine 2, Mirthwood и Hollowbody 4 ч.
Вышла Warhammer 40,000: Space Marine 2 — спустя 13 лет после первой части 5 ч.
В первое время iPhone 16 обойдутся без ИИ — iOS 18.1 с Apple Intelligence выйдет только в октябре 6 ч.
GTA VI не перенесли на 2026 год — журналист узнал у сотрудников Rockstar 7 ч.
Заменитель cookie от Google задушит малый бизнес: высокие издержки внедрения Privacy Sandbox многим не по карману 9 ч.
Netflix оставит владельцев Oxenfree на площадке itch.io без возможности скачать игру заново 10 ч.
Nacon компенсирует игрокам Test Drive Unlimited Solar Crown беды с серверами, а пока предлагает временное решение проблем 14 ч.
Тизер-трейлер экранизации Minecraft собрал больше миллиона дизлайков, а фанат показал, как должен был выглядеть фильм 15 ч.
Илон Маск опроверг слухи о намерениях xAI претендовать на часть выручки Tesla 16 ч.
Всего за несколько дней игроки Baldur’s Gate 3 установили миллионы модов через встроенный менеджер 16 ч.
Новая статья: Собирай по-новому, собирай красиво: знакомимся с концепцией скрытого кабель-менеджмента в игровых ПК на примере системы MSI PROJECT ZERO 4 ч.
Apple представила процессоры A18 и A18 Pro — до 30 % быстрее предшественников 5 ч.
Госсектор РФ уже потратил 200 млрд рублей на закупку ПО и оборудования в 2024 году 5 ч.
Apple представила наушники AirPods Max с интерфейсом USB Type-C и новыми цветами — цена не изменилась 6 ч.
Apple представила наушники AirPods 4 за $129 — за версию с шумоподавлением придётся доплатить $50 6 ч.
Apple представила Watch Series 10 с увеличенным дисплеем, тонким корпусом и быстрой зарядкой 6 ч.
Apple представила смарт-часы Watch Ultra 2 в новом чёрном цвете и с новыми функциями за $799 7 ч.
AMD объединит RDNA для игр и CDNA для ИИ-ускорителей в единую графическую архитектуру UDNA 8 ч.
Acer выпустила первый потребительский БП — Predator GX850 SFX мощностью 850 Вт 8 ч.
Планшет Honor MagicPad 2 с поддержкой ИИ поступит в продажу в России 24 сентября 9 ч.