Alat penerjemah kode ChatGPT rentan terhadap serangan peretas.

Apa yang perlu Anda ketahui

• Anggota ChatGPT Plus sekarang dapat mengakses alat penerjemah kode dengan kemampuan pengkodean yang canggih, termasuk menulis kode Python dengan memanfaatkan kemampuan AI dan menjalankannya di sandbox lingkungan.
• Seorang pakar keamanan telah mengungkapkan bahwa fitur baru ini berpotensi menimbulkan ancaman keamanan yang signifikan bagi pengguna.
• Menjalankan kode di lingkungan sandbox meningkatkan kemungkinan peretas mengakses data Anda dengan jahat.
• Teknik ini melibatkan menipu ChatGPT agar menjalankan instruksi dari URL pihak ketiga, memintanya untuk menyandikan file yang diunggah ke dalam string, dan mengirimkan informasi ini ke situs jahat.

---

Untuk sementara waktu, kami telah mengetahui bahwa ChatGPT dapat mencapai hal-hal luar biasa dan membuat pekerjaan lebih mudah bagi pengguna mengembangkan perangkat lunak dalam waktu kurang dari 7 menit ke memecahkan masalah matematika yang rumit dan banyak lagi. Meskipun menulis kode menggunakan alat ini sudah dimungkinkan, OpenAI baru-baru ini meluncurkan alat Penafsir Kode baru, yang menjadikan prosesnya lebih lancar.

Berdasarkan Perangkat Keras Tom Dan pakar keamanan siber Johann Rehberger, alat ini menulis kode Python dengan memanfaatkan kemampuan AI dan bahkan menjalankannya di lingkungan sandbox. Dan meskipun ini merupakan prestasi yang luar biasa, lingkungan sandbox adalah sarang lebah yang dibiakkan oleh para penyerang.

Hal ini terutama karena ini juga digunakan untuk menangani spreadsheet apa pun. Anda mungkin memerlukan ChatGPT untuk menganalisis dan menyajikan data dalam bentuk grafik, yang pada akhirnya membuatnya rentan terhadap taktik jahat peretas.

Bagaimana peretas memanfaatkan kerentanan ini?

Berdasarkan temuan Johann Rehberger dan Tes dan analisis mendalam Tom's Hardware, teknik ini melibatkan pembodohan chatbot yang didukung AI agar menjalankan instruksi dari URL pihak ketiga. Hal ini memungkinkannya untuk menyandikan file yang diunggah ke dalam string yang mengirimkan informasi ke situs jahat.

Hal ini sangat memprihatinkan meskipun teknik ini memerlukan kondisi tertentu. Anda juga memerlukan langganan ChatGPT Plus untuk mengakses alat penerjemah kode.

TERKAIT:OpenAI untuk sementara membatasi pendaftaran baru untuk layanan ChatGPT Plus-nya

Saat menjalankan pengujian dan mencoba mereplikasi teknik ini, Tom's Hardware mencoba menentukan sejauh mana kerentanan ini membuat file variabel lingkungan palsu dan memanfaatkan kemampuan ChatGPT untuk memproses dan mengirim data ini ke pihak jahat eksternal lokasi.

Mengingat hal ini, pengunggahan dimulai pada mesin virtual Linux baru dengan struktur direktori khusus. Meskipun ChatGPT mungkin tidak menyediakan baris perintah, ChatGPT merespons perintah Linux, sehingga memungkinkan pengguna untuk mengakses informasi dan file. Melalui cara ini, peretas dapat mengakses data pengguna yang tidak menaruh curiga.

Apakah mungkin untuk sepenuhnya memblokir peretas agar tidak memanfaatkan kemampuan AI untuk melancarkan serangan terhadap pengguna yang tidak menaruh curiga? Silakan bagikan pemikiran Anda dengan kami di komentar.