Die Forscher von Salt Labs fordern OpenAI auf, seine Dokumentation zu präzisieren, und fordern die Entwickler auf, sich potenzieller Sicherheitslücken bei der Arbeit mit chatgpt bewusster zu sein.
ChatGPT-Plugins wurden im März 2023 als experimentelle Möglichkeit eingeführt, das große ChatGPT-Sprachmodell von OpenAI mit Anwendungen von Drittanbietern zu verbinden. Entwickler von Plugins könnten sie nutzen, um mit externen APIs zu interagieren, um auf Datenressourcen wie Aktienkurse und Sportergebnisse zuzugreifen und sich mit anderen Diensten zu verbinden, um Aktionen durchzuführen, wie zum Beispiel einen Flug zu buchen oder Essen zu bestellen. ChatGPT-Plugins werden jetzt durch benutzerdefinierte GPTs ersetzt, die im November 2023 eingeführt wurden.
Laut Sicherheitsforschern von Salt Labs, einer Abteilung des API-Sicherheitsanbieters Salt Security, werden jedoch einige der früheren ChatGPT-Plugins während des Übergangs zu benutzerdefinierten GPTs weiterhin verwendet. Im Juni 2023, bevor benutzerdefinierte GPTs eingeführt wurden, entdeckten Forscher von Salt Labs eine Implementierung der OAuth-Authentifizierung für ChatGPT-Plugins, die es Angreifern möglicherweise hätte ermöglichen können, ein bösartiges Plugin auf dem Konto eines Benutzers zu installieren und auf sensible Daten zuzugreifen. Die Forscher fanden auch heraus, dass Angreifer potenziell davon profitieren könnten Manipulation der OAuth-Umleitung über ChatGPT-Plugins von Drittanbietern, um Anmeldeinformationen zu stehlen und auf Benutzerkonten zuzugreifen, die mit ChatGPT verbunden sind, auch auf GitHub.
Zwei Drittanbieter von Plugins, PluginLab.ai und Kesem AI, wurden von Salt Labs benachrichtigt und haben ihre Schwachstellen ebenfalls behoben. Die Forscher sagten, sie hätten keine Beweise dafür gesehen, dass diese Schwachstellen ausgenutzt worden seien.
„Es ist theoretisch möglich, aber sehr theoretisch“, sagte Yaniv Balmas, leitender Forscher bei Salt Labs, diese Woche in einem Interview mit TechTarget Editorial. „Für uns als Sicherheitsforscher ist es schwierig, alle Entwicklungen in der generativen KI zu verfolgen, und diese Aussage gilt auch für Angreifer, aber werden sie dort ankommen? Es ist nicht die Frage des ‚Ob‘, sondern des ‚Wann‘.“
Die Forscher räumten außerdem ein, dass benutzerdefinierte GPTs Benutzer besser vor den potenziellen Risiken einer Verbindung mit Anwendungen von Drittanbietern warnen und dass OpenAI offenbar bereit ist, ChatGPT-Plugins zugunsten benutzerdefinierter GPTs abzulehnen. Laut OpenAI bauen die Aktionen benutzerdefinierter GPTs jedoch „auf Plugins auf“. Dokumentationund Salt Security hat auch in diesem Rahmen Schwachstellen aufgedeckt.
Salt-Forscher planen, diese Schwachstellen im Rahmen des üblichen Offenlegungsprozesses offenzulegen, damit OpenAI das Problem beheben kann, sagte Balmas und lehnte es vorerst ab, weitere Details preiszugeben.
„Außer der Tatsache, dass wir dazu nichts sagen können [custom GPTs] sind besser gesichert als Plugins, aber definitiv nicht hermetisch“, sagte er. „Die Auswirkungen sind denen sehr ähnlich, die wir in diesen Schwachstellen zeigen.“
Branchenanalysten sagten, dass von Salt Labs aufgedeckte Schwachstellen möglicherweise erhebliche Auswirkungen haben könnten, wenn schlecht konfigurierte ChatGPT-Plugins Zugriff auf sensible Anwendungen, insbesondere Code-Repositories in GitHub, erhalten.
Tom ThiemannAnalyst, Enterprise Strategy Group
„Es verdient Aufmerksamkeit, weil es Entwickler leicht anfällig für Angriffe macht, da Dienste wie ChatGPT-Plugins mit Ihren sensiblen Daten interagieren können“, sagte Todd Thiemann, Analyst bei der Enterprise Strategy Group (ESG) von TechTarget. „Abhängig vom Plugin kann das auch die Berechtigung zum Zugriff auf Ihre privaten Konten auf GitHub oder google Drive geben. Dieser ungehinderte Zugriff für Angreifer gibt ihnen die Möglichkeit, ernsthaften Schaden anzurichten.“
Ein Analyst sagte jedoch, solche Schwachstellen seien bei jeder neuen Technologie zu erwarten, bei der Entwickler versuchen, Produkte mit minimaler Lebensfähigkeit auf den Markt zu bringen.
„OAuth-Redirect-Manipulation ist real und sollte behoben werden, aber es handelt sich um ein altbewährtes Problem, und ich bin realistisch, dass es bei jeder neuen Technologie eine Zeit des Testens geben muss“, sagte er Daniel Kennedy, Analyst bei 451 Research, einem Geschäftsbereich von S&P Global. „Es wird Schwachstellen geben, und dann werden sie gemindert – bei Black Hat wird es Gespräche darüber geben: ‚Ich habe all diese alten Tricks, um mit dieser neuen Plattform zu funktionieren.‘“
Salt Labs fordert eine Klarstellung der OpenAI-Dokumente
Die Manipulation der OAuth-Weiterleitung ist ein Sicherheitsproblem, das ChatGPT und der generativen KI lange vorausgeht. Wenn API-Entwickler, die OAuth verwenden, nicht sicher sind, ob Umleitungs-URLs legitim sind, bevor sie Zugriff gewähren, können Angreifer bösartige URLs erstellen, einen Benutzer dazu verleiten, darauf zu klicken, und sich Zugriff auf die API und ihre abhängigen Systeme verschaffen.
Allerdings erfordern solche Angriffe, dass ein Benutzer auf den schädlichen Link klickt. Die in der ChatGPT-Plugin-Framework-Implementierung von OAuth entdeckte Schwachstelle hätte möglicherweise sogar diesen Schritt umgehen können, da die ursprüngliche Implementierung keinen zufälligen Statuswert verwendet hat, um die Fälschung standortübergreifender Anforderungen zu verhindern. Stattdessen wurde ein Wert verwendet, den ein Angreifer hätte erraten können. Das sei inzwischen behoben, sagte Balmas.
In einem Blogbeitrag von Salt Labs, der diese Woche veröffentlicht wurde, heißt es jedoch, dass OpenAI seine Dokumentation zur Implementierung der Authentifizierung in ChatGPT klarstellen sollte Plugins Und Aktionen um die potenziellen Sicherheitsrisiken einer Fehlkonfiguration hervorzuheben.
„Wir glauben, dass einige dieser Schwachstellen vermieden werden könnten, wenn Entwickler sich des Risikos bewusster wären“, so der Blogeintrag liest.
Laut Thiemann von ESG ist dieses Bewusstsein angesichts der zunehmenden Einführung generativer KI gerechtfertigt.
„Es ist gut, dass ein Anbieter wie Salt Labs auf diese Schwachstellen aufmerksam macht, denn Unternehmen müssen das Risiko verstehen und die richtigen Richtlinien implementieren, um die Nutzung zu sichern“, sagte er.
OpenAI reagierte zum Redaktionsschluss nicht auf Anfragen nach Kommentaren.
Beth Pariseau, leitende Nachrichtenredakteurin für TechTarget Editorial, ist eine preisgekrönte Veteranin des IT-Journalismus, die über DevOps berichtet. Haben Sie einen Tipp? Schicken Sie ihr eine E-Mail oder kontaktieren Sie X @PariseauTT.