chatgpt-plugins-vulnerabilities-user-data-risk-1024×597.jpg“ alt=“ChatGPT-Plugins sind kritischen Schwachstellen ausgesetzt und riskieren Benutzerdaten“ class=“wp-image-114255″ srcset=“https://www.hackread.com/wp-content/uploads/2024/03/chatgpt-plugins-vulnerabilities-user-data-risk-1024×597.jpg 1024w, https://www.hackread.com/wp-content/uploads/2024/03/chatgpt-plugins-vulnerabilities-user-data-risk-300×175.jpg 300w, https://www.hackread.com/wp-content/uploads/2024/03/chatgpt-plugins-vulnerabilities-user-data-risk-768×448.jpg 768w, https://www.hackread.com/wp-content/uploads/2024/03/chatgpt-plugins-vulnerabilities-user-data-risk-380×222.jpg 380w, https://www.hackread.com/wp-content/uploads/2024/03/chatgpt-plugins-vulnerabilities-user-data-risk-800×467.jpg 800w, https://www.hackread.com/wp-content/uploads/2024/03/chatgpt-plugins-vulnerabilities-user-data-risk-1160×677.jpg 1160w, https://www.hackread.com/wp-content/uploads/2024/03/chatgpt-plugins-vulnerabilities-user-data-risk.jpg 1200w“ sizes=“(max-width: 1024px) 100vw, 1024px“/>

Kritische Sicherheitslücken in ChatGPT-Plugins setzen Benutzer der Gefahr von Datenschutzverletzungen aus. Angreifer könnten Anmeldedaten stehlen und auf sensible Daten auf Websites Dritter zugreifen. Aktualisieren Sie jetzt Ihre Plugins und verwenden Sie nur Erweiterungen aus vertrauenswürdigen Quellen, um sich vor KI-gesteuerten Cyberbedrohungen zu schützen.

Salt Security, ein führender Anbieter von API-Sicherheit (Application Programming Interface), hat kritische Sicherheitslücken in beliebten Plugins des KI-Chatbots von OpenAI entdeckt ChatGPT. Diese Schwachstellen können es Angreifern ermöglichen, vertrauliche Benutzerdaten zu stehlen und sich unbefugten Zugriff auf Konten auf Websites Dritter oder den Datenabruf zu verschaffen google Drive.

Dies bedeutet, dass die ChatGPT-Plugin-Funktionalität, die jetzt als GPTs bekannt ist, ein Angriffsvektor sein könnte, der Schwachstellen den Zugriff auf Benutzerkonten von Drittanbietern, einschließlich GitHub-Repositories, ermöglicht und es böswilligen Akteuren ermöglicht, die Kontrolle über das Konto einer Organisation auf Websites von Drittanbietern zu erlangen und auf sensible Daten zuzugreifen .

Zu Ihrer Information: ChatGPT-Plugins (ausschließlich zugänglich für Benutzer mit einem GPT-4-Modell, die ein ChatGPT Plus-Abonnement zur Nutzung) sollen die Fähigkeiten des Chatbots verbessern, indem sie ihm ermöglichen, mit externen Diensten zu interagieren und über verschiedene Domänen hinweg anwendbar zu sein. Bei der Verwendung von ChatGPT-Plugins kann es jedoch vorkommen, dass Unternehmen versehentlich zulassen, dass vertrauliche Daten an Websites Dritter gesendet werden und auf private externe Konten zugegriffen wird.

Drei Schwachstellen

Laut Salt Labs Forschung Wie Hackread.com vor der Veröffentlichung am Mittwoch mitteilte, entdeckte das Unternehmen drei Schwachstellen in ChatGPT-Plugins.

Erste Sicherheitslücke

Die erste fand innerhalb von ChatGPT selbst statt, wo Benutzer auf die Plugin-Website weitergeleitet werden, um einen Code zur Genehmigung zu erhalten. Angreifer können diese Funktion ausnutzen, um Benutzern mit einem bösartigen Plugin eine Code-Genehmigung zu übermitteln, die es ihnen ermöglicht, ihre Anmeldeinformationen auf dem Konto eines Opfers zu installieren. Jede in ChatGPT geschriebene Nachricht kann an ein Plugin weitergeleitet werden und der Angreifer kann dann auf proprietäre Informationen zugreifen.

Siehe auch  Es spielt keine Rolle, ob Ihr Produkt schlecht ist, wenn die Technologie dahinter revolutionär ist. ChatGPT ist der Beweis

Zweite Sicherheitslücke

Die zweite Schwachstelle wurde in PluginLab identifiziert, einem Framework zur Entwicklung von ChatGPT-Plugins. Salt Labs hat herausgefunden, dass PluginLab während des Installationsprozesses keine angemessenen Sicherheitsmaßnahmen implementiert, sodass Angreifer potenziell schädliche Plugins ohne Wissen der Benutzer installieren können.

Da PluginLab Benutzerkonten nicht authentifiziert hat, können Angreifer eine andere Benutzer-ID einfügen und an den Code eines Opfers gelangen, was zur Kontoübernahme führt. Ein betroffenes Plugin, „AskTheCode“, integriert sich zwischen ChatGPT und GitHub und ermöglicht Angreifern den Zugriff auf das Konto eines Opfers.

Dritte Sicherheitslücke

Eine weitere Schwachstelle war die Manipulation der OAuth-Umleitung, die es Angreifern ermöglichte, bösartige URLs an Opfer zu senden und Benutzeranmeldeinformationen zu stehlen. Viele ChatGPT-Plugins verlangen weitreichende Berechtigungen für den Zugriff auf verschiedene Websites. Das bedeutet, dass kompromittierte Plugins möglicherweise Anmeldeinformationen oder andere sensible Daten von diesen Websites Dritter stehlen könnten.

Gemäß verantwortungsvoller Offenlegungspraktiken arbeiteten die Forscher von Salt Labs mit OpenAI und Drittanbietern zusammen, um Probleme umgehend zu beheben, bevor sie in freier Wildbahn ausgenutzt werden.

Diese Forschung verdeutlicht die wachsende Verbreitung von KI und ihre potenziellen Sicherheitsrisiken. Im Januar 2024, Kaspersky hat über 3.000 Dark-Web-Beiträge entdeckt wo Bedrohungsakteure darüber diskutierten, KI-gestützte Chatbots wie ChatGPT für die Entwicklung ähnlicher Tools zur Durchführung von Cyberkriminalität auszunutzen.

Kürzlich veröffentlichte den Bericht „Hi-Tech Crime Trends 23/24“ von Group-IB zeigt einen Anstieg des Einsatzes von KI durch Cyberkriminelle, insbesondere für gestohlene ChatGPT-Anmeldeinformationen, die für den Zugriff auf sensible Unternehmensdaten verwendet werden können. Zwischen Januar und Oktober 2023 wurden über 225.000 Infostealer-Protokolle mit kompromittierten ChatGPT-Anmeldeinformationen entdeckt.

Daher wird Benutzern empfohlen, die Berechtigungen sorgfältig zu prüfen, nur Plugins aus vertrauenswürdigen Quellen zu installieren und ChatGPT und Plugins regelmäßig zu aktualisieren. Entwickler sollten Schwachstellen bei der Codeausführung beheben, um Benutzerdaten zu schützen. PluginLab-Entwickler sollten während des gesamten Plugin-Entwicklungslebenszyklus robuste Sicherheitsmaßnahmen implementieren.

Siehe auch  ChatGPT übertrifft Bing bei der Bereitstellung von Informationen zur Behandlung von Bluthochdruck zu Hause
  1. ChatGPT von OpenAI kann polymorphe Malware erstellen
  2. Bösartiger Abrax666-KI-Chatbot als potenzieller Betrug entlarvt
  3. Schädliche Werbung infiltriert den KI-Chatbot von Bing im Rahmen eines Malvertising-Angriffs
  4. Nach WormGPT taucht FraudGPT für KI-gesteuerte Cyberkriminalität auf
  5. Forscher erstellen mit ChatGPT polymorphe Blackmamba-Malware

Anzeige
Nina Weber
Nina Weber is a renowned Journalist, who worked for many German Newspaper's Tech coloumns like Die Zukunft, Handelsblatt. She is a contributing Journalist for futuriq.de. She works as a editor also as a fact checker for futuriq.de. Her Bachelor degree in Humanties with Major in Digital Anthropology gave her a solid background for journalism. Know more about her here.

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein