Το ChatGPT στο στόχαστρο χάκερς - Κρυφή εντολή υποκλέπτει δεδομένα από Google Drive

Το ChatGPT γίνεται στόχος, καθώς ερευνητές αποκάλυψαν τεχνική που επιτρέπει σε κυβερνοεγκληματίες να υποκλέπτουν ευαίσθητα δεδομένα, όπως API keys από αρχεία που είναι αποθηκευμένα σε cloud πλατφόρμες, όπως το Google Drive.

Η επίθεση, με την ονομασία AgentFlayer, εκμεταλλεύεται τη λειτουργία Connectors του ChatGPT, ένα χαρακτηριστικό που επιτρέπει τη σύνδεση του chatbot με εξωτερικές εφαρμογές και υπηρεσίες, μεταξύ των οποίων και το Google Drive. Η καινοτομία της επίθεσης είναι ότι το θύμα δεν χρειάζεται να κάνει καμία ενέργεια και αρκεί να αλληλεπιδράσει με ένα “μολυσμένο” αρχείο που περιέχει κρυμμένες εντολές προς το ChatGPT.

Όταν ο χρήστης χρησιμοποιεί το ChatGPT για να επεξεργαστεί ή να διαβάσει το έγγραφο μέσω Connectors, οι εντολές ενεργοποιούνται αυτόματα και καθοδηγούν το chatbot να αναζητήσει API keys και να τα αποστείλει σε εξωτερικό server.

Η επίθεση δεν αφορά αποκλειστικά το Google Drive. Όπως διευκρινίζει και εκπρόσωπος της Google, το πρόβλημα εντοπίζεται στη γενικότερη αδυναμία του AI να εντοπίσει και να μπλοκάρει κακόβουλες εντολές που του έχουν “κρυφτεί” σε απλό κείμενο. Η OpenAI, από την άλλη, έχει ήδη λάβει μέτρα για να περιορίσει τη χρήση του συγκεκριμένου exploit.