Исследователи предупреждают разработчиков об уязвимостях в плагинах ChatGPT

Исследователи Salt Labs призывают OpenAI уточнить документацию, а разработчиков - быть более осведомленными о потенциальных уязвимостях безопасности при работе с ChatGPT.

Плагины ChatGPT были представлены в марте 2023 года в качестве экспериментального средства для подключения большой языковой модели ChatGPT от OpenAI к сторонним приложениям. Разработчики плагинов могли использовать их для взаимодействия с внешними API для доступа к таким ресурсам данных, как цены на акции и спортивные результаты, а также для подключения к другим сервисам для выполнения действий, таких как бронирование авиабилетов или заказ еды. В настоящее время плагины ChatGPT вытесняются пользовательскими GPT, которые были представлены в ноябре 2023 года.

Однако некоторые из ранних плагинов ChatGPT продолжают использоваться во время перехода на пользовательские GPT, сообщают исследователи безопасности из Salt Labs, подразделения компании Salt Security, специализирующейся на защите API. В июне 2023 года, до внедрения пользовательских GPT, исследователи Salt Labs обнаружили реализацию аутентификации OAuth для плагинов ChatGPT, которая потенциально могла позволить злоумышленникам установить вредоносный плагин на учетную запись пользователя и получить доступ к конфиденциальным данным. Исследователи также обнаружили, что злоумышленники могли использовать манипуляции с перенаправлениями OAuth через сторонние плагины ChatGPT для кражи учетных данных и доступа к учетным записям пользователей, подключенных к ChatGPT, в том числе на GitHub.

Два сторонних поставщика плагинов, PluginLab.ai и Kesem AI, были уведомлены Salt Labs и также исправили свои уязвимости. Исследователи заявили, что не видели доказательств того, что эти уязвимости были использованы.

"Теоретически это возможно, но очень теоретически", - сказал Янив Балмас, главный исследователь Salt Labs, в интервью изданию TechTarget Editorial на этой неделе. "Нам, как исследователям безопасности, сложно отслеживать все разработки в области генеративного ИИ, и это утверждение справедливо и для злоумышленников, но дойдут ли они до этого? Это вопрос не "если", а "когда"".

Исследователи также признали, что пользовательские GPT лучше предупреждают пользователей о потенциальных рисках, связанных с подключением к сторонним приложениям, и что OpenAI, похоже, намерена отказаться от плагинов ChatGPT в пользу пользовательских GPT. Но действия пользовательских GPT "основаны на плагинах", согласно документации OpenAI, и Salt Security обнаружила уязвимости и в этой структуре.

По словам Балмаса, исследователи Salt планируют раскрыть эти уязвимости в соответствии с обычным процессом раскрытия информации, чтобы позволить OpenAI устранить проблему, и пока отказываются сообщить другие подробности.

"Мы не можем ничего сказать по этому поводу, кроме того, что пользовательские GPT защищены лучше, чем плагины, но определенно не герметичны", - сказал он. "Воздействие очень похоже на то, которое мы показываем в этих уязвимостях".

По словам отраслевых аналитиков, уязвимость, раскрытая Salt Labs, может иметь серьезные последствия, если плохо настроенные плагины ChatGPT получат доступ к важным приложениям, особенно к репозиториям кода на GitHub.

"Это делает разработчиков уязвимыми для атак, поскольку такие сервисы, как плагины ChatGPT, могут взаимодействовать с вашими конфиденциальными данными. ... Такой беспрепятственный доступ для противников дает им возможность посеять серьезный хаос", - Том Тиманн, аналитик Enterprise Strategy Group.

"Это заслуживает внимания, поскольку делает разработчиков уязвимыми для атак, так как сервисы вроде плагинов ChatGPT могут взаимодействовать с вашими конфиденциальными данными", - говорит Тодд Тиманн, аналитик из TechTarget's Enterprise Strategy Group (ESG). "В зависимости от плагина, это может также дать разрешение на доступ к вашим личным аккаунтам на GitHub или Google Drive. Такой неограниченный доступ для противников дает им возможность посеять серьезный хаос".

Один из аналитиков, однако, сказал, что подобных уязвимостей следует ожидать от любой новой технологии, когда разработчики пытаются выпустить минимально жизнеспособный продукт.

"Манипуляции с перенаправлениями OAuth реальны и должны быть исправлены, но это вроде как хорошо изученная проблема, и я понимаю, что с каждой новой технологией должен быть период тестирования", - говорит Дэниел Кеннеди, аналитик 451 Research, подразделения S&P Global. "Будут уязвимости, а затем они будут устранены - на Black Hat будут говорить о том, что "все эти старые трюки работают на новой платформе"".