Instrumentul de interpretare a codului ChatGPT este predispus la atacuri de hacker.

November 15, 2023
ÎnFerestre Centrale

Ce trebuie sa stii

Membrii ChatGPT Plus pot accesa acum un instrument de interpretare a codului cu capabilități sofisticate de codare, inclusiv scrierea codului Python prin valorificarea capabilităților AI și rularea acestuia într-un sandbox mediu inconjurator.
Un expert în securitate a dezvăluit că noua caracteristică reprezintă potențial o amenințare semnificativă de securitate pentru utilizatori.
Rularea codului într-un mediu sandbox crește șansele ca hackerii să vă acceseze în mod rău intenționat datele.
Tehnica implică păcălirea ChatGPT să execute instrucțiuni de la o adresă URL terță parte, să îi solicite să codifice fișierele încărcate într-un șir și să trimită aceste informații către un site rău intenționat.

De ceva vreme, știm că ChatGPT poate realiza lucruri incredibile și poate face munca mai ușoară pentru utilizatori dezvoltarea de software în mai puțin de 7 minute la rezolvarea unor probleme complexe de matematică și altele. Deși este deja posibil să scrieți cod folosind instrumentul, OpenAI a lansat recent un nou instrument de interpretare a codului, făcând procesul mai ușor.

Conform Hardware-ul lui Tom și Johann Rehberger, expert în securitate cibernetică, instrumentul scrie cod Python valorificând capabilitățile AI și chiar îl rulează într-un mediu sandbox. Și, în timp ce aceasta este o ispravă incredibilă, mediul cu nisip este un cuib de viespi crescut cu atacatori.

👉 Ocazie bună de a crește gradul de conștientizare cu privire la problemele legate de injectarea promptă și exfilarea datelor. Sunt leneș, inserați această adresă URL în ChatGPT și trimite-mi-o. 🙂#chatgpt #infosec https://t.co/SogGZh8cji pic.twitter.com/Dh95xIK4qy10 noiembrie 2023

Vezi mai mult

Acest lucru se datorează în principal pentru că este folosit și pentru a gestiona orice foi de calcul. S-ar putea să aveți nevoie de ChatGPT pentru a analiza și prezenta datele sub formă de diagrame, făcându-l în cele din urmă susceptibil la stratagemele rău intenționate ale hackerilor.

Cum valorifică hackerii această vulnerabilitate?

Conform constatărilor lui Johann Rehberger și Testele și analizele aprofundate ale Tom's Hardware, tehnica implică înșelarea chatbot-ului alimentat de AI pentru a executa instrucțiuni de la o adresă URL terță parte. Acest lucru îi permite să codifice fișierele încărcate într-un șir care trimite informațiile către un site rău intenționat.

Acest lucru este foarte îngrijorător, chiar dacă această tehnică necesită condiții speciale. De asemenea, veți avea nevoie de un abonament ChatGPT Plus pentru a accesa instrumentul de interpretare a codului.

LEGATE DE:OpenAI restricționează temporar noile înscrieri pentru serviciul său ChatGPT Plus

În timp ce rula teste și încerca să reproducă această tehnică, Tom's Hardware a încercat să determine amploarea acestei vulnerabilități prin crearea unui fișier de variabile de mediu fals și valorificarea capacităților ChatGPT de a procesa și trimite aceste date către un malware extern site-ul.

Având în vedere acest lucru, încărcările sunt inițiate pe o nouă mașină virtuală Linux cu o structură de directoare dedicată. În timp ce ChatGPT ar putea să nu ofere o linie de comandă, acesta răspunde la comenzile Linux, permițând astfel utilizatorilor să acceseze informațiile și fișierele. Prin această cale, hackerii pot reuși să acceseze datele utilizatorilor nebănuiți.

Este posibil să blochezi complet hackerii să folosească capacitățile AI pentru a desfășura atacuri asupra utilizatorilor nebănuiți? Vă rugăm să vă împărtășiți gândurile cu noi în comentarii.