Salt Security нашла в плагинах ChatGPT уязвимости, позволяющие взламывать учётные записи

Salt Security выявила баги в плагинах ChatGPT. Уязвимые места позволяют совершить взлом учетных записей на сторонних платформах. Ситуацией могут воспользоваться киберпреступники.

Эксперты уточнили, имеются в виду плагины, позволяющие нейросети выполнять правки кода на GitHub, получать информацию с «Google Диска». Плагины ChatGPT являются альтернативной версией чат-бота, функционирующего на базе ИИ. В общей сложности во время анализа Salt Security было выявлено 3 критических бага. Первая уязвимость связана с установкой плагина, ChatGPT отправит пользователю код, чтобы подтвердить установку. Но в этот момент злоумышленники могут сделать подмену и загрузить вредоносный плагин.

 Второй баг задействован в разработке плагинов. Специалисты заметили отсутствие достаточной защиты при аутентификации пользователей, хотя она должна быть надежной. Третий баг был обнаружен в нескольких плагинах. Ключевую роль играют манипуляции с переадресацией при авторизации через OAuth. Она позволяет перехватывать доступ к учетным записям на разных интернет-платформах. Salt Security передала информацию OpenAI. Ошибки быстро исправили, сейчас от них не осталось и следа.