Sicherheitslücken in chatgpt und mehreren seiner Drittanbieter-Plugins bergen das Risiko, dass Benutzerkonversationen und andere Kontoinhalte verloren gehen, darunter ein Zero-Click-Exploit, der einem Angreifer Zugriff auf die privaten GitHub-Repositories eines Opfers verschaffen könnte.
Die Schwachstellen im ChatGPT-Plugin wurden von Salt Labs, einem Teil von Salt Security, entdeckt, das seine Untersuchung am Mittwoch in einem Blogbeitrag veröffentlichte. Laut Salt Labs wurden die Probleme den ChatGPT- und Plugin-Entwicklern im Juli bzw. September 2023 gemeldet und seitdem behoben.
ChatGPT-Plugins, die jetzt als „Aktionen“ bekannt sind und über benutzerdefinierte GPTs verfügbar sind, stellen das wachsende „generative KI-Ökosystem“ dar, das es großen Sprachmodellen (LLMs) wie ChatGPT ermöglicht, auf Informationen außerhalb seiner Trainingsdaten zuzugreifen.
Diese Plugins ermöglichen ChatGPT das Senden und Empfangen potenziell sensibler Daten an und von anderen Websites, einschließlich der privaten Konten Dritter der Benutzer, wodurch ein neuer potenzieller Angriffsvektor entsteht.
„Unsere jüngsten Schwachstellenentdeckungen in ChatGPT verdeutlichen, wie wichtig es ist, die Plugins innerhalb dieser Technologie zu schützen, um sicherzustellen, dass Angreifer keinen Zugriff auf kritische Geschäftsressourcen und die Übernahme von Führungskonten haben“, sagte Yaniv Balmas, Vice President of Research bei Salt Security, in einer Erklärung.
OAuth-Implementierungsfehler in ChatGPT und mehreren Plugins gefunden
Die drei vom SaltLabs-Team entdeckten Hauptschwachstellen betrafen alle eine fehlerhafte Implementierung des Open Authorization (OAuth)-Standards. OAuth ermöglicht einer Anwendung den Zugriff auf Informationen von Konten auf anderen Websites, ohne dass der Benutzer seine Anmeldeinformationen direkt für die App angeben muss.
Viele ChatGPT-Plugins oder benutzerdefinierte GPTs verwenden OAuth, um ChatGPT den Zugriff auf Daten von Benutzerkonten auf Websites Dritter zu ermöglichen. Der Versuch, bestimmte Plugin-Aktionen auszuführen, führt zur Anforderung und zum Austausch von OAuth-Tokens zwischen ChatGPT, dem Benutzer und der Drittanbieter-Site.
Bei unsachgemäßer Implementierung können OAuth-Tokens abgefangen, umgeleitet oder auf andere Weise missbraucht werden, um einem Angreifer den Zugriff auf das Konto eines Opfers zu ermöglichen oder das Konto eines Opfers mit einer bösartigen Anwendung zu verbinden.
„Mitarbeiter geben zunehmend proprietäre Daten in KI-Tools ein – darunter geistiges Eigentum, Finanzdaten, Geschäftsstrategien und mehr – und der unbefugte Zugriff durch einen böswilligen Akteur könnte für ein Unternehmen lähmend sein“, Darren Guccione, CEO und Mitbegründer von Keeper Security , teilte SC Media in einer E-Mail mit.
Einer der von Salt Labs entdeckten OAuth-Fehler wurde in PluginLab gefunden, einem Framework, das von vielen Entwicklern zum Erstellen von Plugins für ChatGPT verwendet wird. Die Forscher fanden heraus, dass mehrere mit PluginLab entwickelte Plugins anfällig für einen Zero-Click-Exploit waren, der es einem Angreifer ermöglichte, auf das Konto eines Opfers auf Websites zuzugreifen, die von den Plugins verwendet wurden, einschließlich GitHub.
Die Forscher demonstrierten, wie der Exploit für das „AskTheCode“-Plugin verwendet werden könnte, das es dem Benutzer ermöglicht, seine GitHub-Repositorys abzufragen. Sie entdeckten, dass eine OAuth-Anfrage, die von AskTheCode an die Autorisierungsseite von PluginLab gesendet wurde, nach einem Token basierend auf der „memberID“ des Benutzers fragte; Da PluginLab diese Anfragen nicht authentifiziert hat, könnte ein Angreifer die Anfrage ändern, um die Mitglieds-ID eines beliebigen Benutzers einzufügen.
Es wurde festgestellt, dass die Mitglieds-ID für jeden Angreifer, der die E-Mail-Adresse seines Ziels bereits kannte, leicht zugänglich war, da es sich bei der ID um den SHA-1-Hash der E-Mail-Adresse des Benutzers handelte. Es wurde auch festgestellt, dass ein PluginLab-API-Endpunkt Mitglieds-IDs preisgibt, wenn er mit einer Anfrage aufgerufen wird, die die E-Mail-Adresse eines Benutzers enthält.
Sobald der Angreifer aus einer Anfrage, die die Mitglieds-ID seines Ziels enthielt, ein OAuth-Token erhalten hatte, konnte er dieses Token an ChatGPT weiterleiten und AsktheCode verwenden, um über die ChatGPT-Schnittstelle auf die GitHub-Repositorys des Opfers zuzugreifen. Dazu gehört die Möglichkeit, eine Liste aller privaten Repositorys anzufordern und bestimmte Dateien zu lesen, wodurch möglicherweise proprietärer Code, private Schlüssel und andere vertrauliche Informationen offengelegt werden.
Die anderen beiden von Salt Labs beschriebenen Schwachstellen-Exploits erfordern, dass ein Opfer auf einen Link klickt, um seine persönlichen Daten preiszugeben. Eine davon wurde in ChatGPT selbst entdeckt und beinhaltete, dass ein Angreifer ein eigenes Plugin erstellte und ChatGPT dazu veranlasste, ein OAuth-Token von einer vom Angreifer kontrollierten Domäne anzufordern. Wenn das OAuth-Token generiert wird, wird der Benutzer zu einem OpenAI-Link weitergeleitet, der den OAuth-Code zur Authentifizierung enthält.
Wenn ein Angreifer diesen Link an das Opfer sendet und das Opfer in seinem OpenAI-Konto angemeldet ist, würde ein Klick auf den Link das Plugin des Angreifers automatisch und ohne Bestätigung in seinem Konto installieren. Das Plugin könnte dann möglicherweise vertrauliche Informationen aus den ChatGPT-Konversationen des Opfers sammeln.
Die dritte Schwachstelle wurde in mehreren ChatGPT-Plugins gefunden, darunter „Charts by Kesem AI“, das den „redirect_uri“-Link, an den ein OAuth-Token gesendet wird, nicht validieren konnte. Dadurch kann der Angreifer seine eigene Domäne als Redirect_uri einfügen und den geänderten Authentifizierungslink an das Ziel senden.
Wenn das Ziel auf den Link klickt, wird ein OAuth-Token für sein eigenes Konto (z. B. sein Kesem AI-Konto) an den Angreifer gesendet, der es dann verwenden kann, um über ChatGPT auf die Kontoinhalte des Opfers zuzugreifen.
„Diese Schwachstellen unterstreichen, wie wichtig es ist, Integrationen von Drittanbietern genau zu prüfen, selbst innerhalb vertrauenswürdiger Plattformen wie ChatGPT. IT-Leiter sollten interne Protokolle zur Überprüfung von Plugins einrichten, bevor sie den Mitarbeitern die Nutzung erlauben“, sagte Sarah Jones, Forschungsanalystin für Cyber-Bedrohungsinformationen bei Critical Start, in einer E-Mail an SC Media.
Generatives KI-Ökosystem schafft neue Angriffsfläche für Cyber-Bedrohungen
Während die Schwachstellen im ChatGPT-Plugin kurz nach ihrer Entdeckung behoben wurden, birgt die schnelle Entwicklung und Einführung generativer KI-Tools weiterhin viele neue Risiken. Salt Labs plant, zusätzliche Untersuchungen zu Cyberrisiken zu veröffentlichen, die seine Forscher im benutzerdefinierten GPT-Marktplatz von ChatGPT entdeckt haben, der das ältere Plugin-System ersetzt.
Die Bedrohungen, die generative KI nutzen, sind vielfältig und reichen vom Diebstahl sensibler LLM-Eingaben über sofortige Manipulationen bis hin zur massenhaften Generierung überzeugender Phishing-E-Mails. Schwachstellen in Googles Gemini AI, die ebenfalls diese Woche bekannt wurden, könnten es einem Angreifer ermöglichen, versteckte Systemeingabeaufforderungen zu erhalten oder Gemini Advanced-Erweiterungen zu missbrauchen, um Benutzer zur Eingabe vertraulicher Informationen zu manipulieren, so HiddenLayer.
Microsoft und OpenAI gaben letzten Monat außerdem bekannt, dass ChatGPT von staatlich geförderten Hackern aus Russland, Nordkorea, dem Iran und China für Aufgaben verwendet wurde, die von der Skripterstellung bis hin zur gezielten Aufklärung und Schwachstellenforschung reichten.
„Da Unternehmen sich beeilen, KI zu nutzen, um sich einen Wettbewerbsvorteil zu verschaffen und die betriebliche Effizienz zu steigern, sollte der Druck, diese Lösungen schnell zu implementieren, nicht Vorrang vor Sicherheitsbewertungen und Mitarbeiterschulungen haben“, sagte Guccione.
