Laut dem Video, das der Ingenieur Pedro José Pereira Vieito auf der sozialen Seite geteilt hat. Dies lässt sich an seiner selbstgemachten Aufnahmeanwendung erkennen. Solange der Benutzer mit der chatgpt-App chattet, kann er den gesamten Gesprächsinhalt sehen, indem er einfach die Chat-Inhaltsschaltfläche liest (super verblüfft!). Weiterlesen: OpenAI-Sicherheitslecks nacheinander: Die ChatGPT-Desktop-App wurde ohne Schutz verschlüsselt, das interne Nachrichtensystem wurde gehackt und es handelte sich zufällig um einen Whistleblower-Bericht. ▲Bildquelle: Pedro José Pereira Vieito
OpenAI-Informationssicherheit lässt Pakete nacheinander durchsickern: Die ChatGPT-Desktop-App ist ohne Schutz verschlüsselt, das interne Nachrichtensystem wurde gehackt und es hat den Whistleblower zufällig populär gemacht
Nach der apple Developer Conference wurde die Veröffentlichung verwandter KI-Funktionen von „Apple Smart“ angekündigt.
Elon Musk, der sich immer sehr lautstark zu OpenAI geäußert hat, äußerte sofort ernsthafte Zweifel an Apples Ankündigung, dass ChatGPT der erste generative KI-Dienst sein wird, der durch die Apple Intelligence-Integration unterstützt wird. Er drohte damit, dass er aufgrund von Bedenken hinsichtlich der Informationssicherheit von allen seinen Unternehmen verlangen würde, Apple-Desktop- und Mobilsysteme zu deaktivieren, die möglicherweise ChatGPT-Dienste integrieren.
Obwohl viele Leute diese Nachricht vielleicht so gelesen haben, als ob Elon Musk, der immer gerne laut spricht, überreagiert hätte. Allerdings scheint OpenAI Boss Ma nun einen Vorsprung zu verschaffen, und eine Menge Neuigkeiten im Zusammenhang mit unverteidigter Sicherheit wurden nacheinander enthüllt – eine davon ist ein ziemlich untergeordneter Fehler.
Laut Ingenieur Pedro José Pereira Vieito inAuf sozialen Seiten teilen, ein Anwendungsdemonstrationsvideo nach der Analyse der Sicherheitslücken der macOS-Version von ChatGPT. Dies lässt sich an seiner selbstgemachten Anwendung zum Erfassen/Stehlen (ChatGPTStealer) erkennen. Solange der Benutzer mit der ChatGPT-App chattet, kann er den gesamten Gesprächsinhalt sehen, indem er einfach die Schaltfläche „Chat-Inhalt“ liest.
Grundsätzlich hat Pereira Vieito in diesem Teil keine hervorragenden Hacking-Fähigkeiten eingesetzt, da die Desktop-Version von ChatGPT die Konversationsdaten der Benutzer überhaupt nicht verschlüsselt, sodass man sagen kann, dass sie der Informationssicherheit völlig schutzlos ausgeliefert ist (und Sie können dem direkt folgen Dateipfad, um die Textdatei der Chat-Daten zu finden…).
▲Bildquelle: Pedro José Pereira Vieito
Laut Ingenieur Pereira Vieito. Er entdeckte zunächst, dass die macOS-Version der ChatGPT-App keinen Sandbox-Anwendungssicherheitsmechanismus einführte. Daher bin ich sehr gespannt, welche Methoden OpenAI zum Schutz der Informationssicherheit einsetzt. Das Ergebnis ist eine verblüffende Situation, in der der Chat-Inhalt nicht verschlüsselt ist.
Der Herausgeber der ausländischen Medien The Verge versuchte ebenfalls, diese ungeschützte Sicherheitslücke zu reproduzieren, bestätigte, dass die Mac-Version von ChatGPT tatsächlich diese ziemlich übertriebene Schwachstelle aufweist, und wandte sich zur Erklärung an OpenAI.
OpenAI-Sprecherin Taya Christianson sagte gegenüber ausländischen Medien: „Bezüglich dieses Problems haben wir Kenntnis davon erhalten und eine neue Version der Anwendung veröffentlicht, um den Inhalt dieser Gespräche zu verschlüsseln … Wir sind bestrebt, gleichzeitig eine benutzerfreundliche Benutzererfahrung zu bieten.“ Zeit, als Technologieentwicklung und Aufrechterhaltung hoher Sicherheitsstandards.“
Nach der Installation des Updates bestätigten spätere ausländische Medien auch, dass es grundsätzlich unmöglich sei, Chat-Daten direkt über die Pereira Vieito-Anwendung abzurufen oder sogar direkt nach Datendateien zu suchen. Grundsätzlich sollte diese Schwachstelle zunächst behoben werden.
▲Bild: Fragen Sie die KI direkt und erhalten Sie eine Fantasieantwort (richtig) (Quelle: Pedro José Pereira Vieito)
Dies scheint jedoch nicht die Schuld von Apple zu sein – schließlich handelt es sich um eine App, die separat heruntergeladen werden muss und daher nicht der Sandbox und anderen vom App Store vorgeschriebenen Sicherheitsmechanismen folgt Es kann nicht gesagt werden, dass der Überprüfungsmechanismus versagt hat.
Allerdings wies das ausländische Medium Engadget auch darauf hin, dass das interne Nachrichtensystem von OpenAI bereits zuvor gehackt worden sei und der Verdacht bestehe, dass der Whistleblower gezielt entlassen worden sei – obwohl der Beamte bestritt, dass die Entlassung mit der Whistleblower-Sache zusammenhängt.
▲Bildquelle: Apple
Allerdings hat die kontinuierliche Explosion solcher Informationssicherheitssituationen dazu geführt, dass sich Elon Musk tatsächlich stärker auf seine anhaltende Kritik und Infragestellung von OpenAI konzentriert. Dies macht die Menschen noch misstrauischer gegenüber der prinzipiellen Einstellung dieses Unternehmens zum Datenschutz.
Immerhin scheint die Schwachstelle in der Desktop-App nun behoben zu sein. Wenn Sie jedoch genau darüber nachdenken, enthält der ursprüngliche Chat-Inhalt Klauseln, die darauf hinweisen, dass er möglicherweise manuell überprüft wird. In dieser Situation konnte bisher jeder die Datenschutzmechanismen von OpenAI nur mit einer vertrauensvollen Haltung betrachten (aus diesem Grund sind der Ruf und der Unternehmergeist des Unternehmens sehr wichtig).
Nun scheint es, dass, wenn die Image- und Vertrauensprobleme des Unternehmens, die durch häufige Informationssicherheitsprobleme verursacht werden, allmählich an die Oberfläche kommen, ich mich frage, ob es in Zukunft Änderungen bei der Integration und Zusammenarbeit mit Apple und anderen Unternehmen geben wird – ich denke, das wird in Ordnung sein ? Schließlich wird die Integrationsmethode von Apple deutlich machen, dass KI-Aufgaben an externe Dienste übergeben werden.
Alles in allem wird empfohlen, wenn Sie die macOS-Version von ChatGPT heruntergeladen und installiert haben, so schnell wie möglich nach Updates zu suchen und die neueste Version zu installieren! Ansonsten kann man tatsächlich von völlig unverteidigten Chatinhalten sprechen.
Weiterführende Literatur:
Haben Sie schon einmal eine Smartwatch gesehen, bei der Sie das „physische“ Uhrengehäuse selbst wechseln können? Die CMF-Smartwatch der Untermarke Nothing spielt auch DIY-Memes ab