新研究显示ChatGPT插件对网络攻击的脆弱性增加
2024 年 5 月 12 日

最新研究显示ChatGPT插件对网络攻击的脆弱性增加

ChatGPT插件的使用近来变得越发引人注目,因为这种做法可能使LLM聊天机器人能够与第三方程序和服务进行交互。这种交互可以使其具有比以往更多的功能,但这种使用可能会付出沉重的代价。坦率地说,这些插件显示出了更高程度的网络攻击脆弱性。

这些信息是基于最近由Salt Labs (opens new window)进行的研究。该研究揭示了三个漏洞,其中一个存在于ChatGPT本身,另一个与PluginLab有关,第三个与OAuth有关。

主要问题在于应用程序之间的第三方数据交换。这基本上为恶意行为者提供了机会,可以通过恶意软件感染系统,或者发起各种网络攻击。

就ChatGPT的脆弱性而言,其中涉及将用户重定向到第三方网站,在那里用户收到了插件所有者批准的访问代码。该代码允许用户安装插件并相应地与ChatGPT进行交互,但恶意行为者可以绕过此过程,将代码替换为属于恶意插件的代码。

一旦完成这一步,恶意行为者可以上传其凭据到用户的帐户,并拦截用户发送给ChatGPT的任何消息。考虑到一些用户可能发送给ChatGPT的敏感数据,可以想象这可能造成多大伤害。

最终,为了保护插件的安全性,需要做更多的工作。人们目前将继续使用它们,因此未来应更加严肃地对待安全性。