最新研究显示ChatGPT插件对网络攻击的脆弱性增加

ChatGPT插件的使用近来变得越发引人注目，因为这种做法可能使LLM聊天机器人能够与第三方程序和服务进行交互。这种交互可以使其具有比以往更多的功能，但这种使用可能会付出沉重的代价。坦率地说，这些插件显示出了更高程度的网络攻击脆弱性。

这些信息是基于最近由Salt Labs (opens new window)进行的研究。该研究揭示了三个漏洞，其中一个存在于ChatGPT本身，另一个与PluginLab有关，第三个与OAuth有关。

主要问题在于应用程序之间的第三方数据交换。这基本上为恶意行为者提供了机会，可以通过恶意软件感染系统，或者发起各种网络攻击。

就ChatGPT的脆弱性而言，其中涉及将用户重定向到第三方网站，在那里用户收到了插件所有者批准的访问代码。该代码允许用户安装插件并相应地与ChatGPT进行交互，但恶意行为者可以绕过此过程，将代码替换为属于恶意插件的代码。

一旦完成这一步，恶意行为者可以上传其凭据到用户的帐户，并拦截用户发送给ChatGPT的任何消息。考虑到一些用户可能发送给ChatGPT的敏感数据，可以想象这可能造成多大伤害。

最终，为了保护插件的安全性，需要做更多的工作。人们目前将继续使用它们，因此未来应更加严肃地对待安全性。