Plugin ChatGPT của bên thứ ba có thể dẫn đến việc chiếm đoạt tài khoản

Plugin ChatGPT của bên thứ ba có thể dẫn đến việc chiếm đoạt tài khoản

Các nhà nghiên cứu an ninh mạng đã phát hiện ra rằng các plugin của bên thứ ba có sẵn cho OpenAI ChatGPT có thể hoạt động như một bề mặt tấn công mới cho các tác nhân đe dọa muốn truy cập trái phép vào dữ liệu nhạy cảm.

Plugin ChatGPT của bên thứ ba có thể dẫn đến việc chiếm đoạt tài khoản

Theo nghiên cứu mới do Salt Labs công bố, các lỗ hổng bảo mật được tìm thấy trực tiếp trong ChatGPT và trong hệ sinh thái có thể cho phép kẻ tấn công cài đặt các plugin độc hại mà không có sự đồng ý của người dùng và chiếm đoạt tài khoản trên các trang web của bên thứ ba như GitHub.

Các plugin ChatGPT, đúng như tên gọi của nó, là các công cụ được thiết kế để chạy trên mô hình ngôn ngữ lớn (LLM) nhằm mục đích truy cập thông tin cập nhật, chạy tính toán hoặc truy cập các dịch vụ của bên thứ ba.

OpenAI kể từ đó cũng đã giới thiệu GPT, là phiên bản riêng của ChatGPT được thiết kế riêng cho các trường hợp sử dụng cụ thể, đồng thời giảm sự phụ thuộc vào dịch vụ của bên thứ ba. Kể từ ngày 19 tháng 3 năm 2024, người dùng ChatGPT sẽ không thể cài đặt plugin mới hoặc tạo cuộc trò chuyện mới bằng plugin hiện có nữa.

Một trong những lỗ hổng được Salt Labs phát hiện liên quan đến việc khai thác quy trình làm việc OAuth để lừa người dùng cài đặt một plugin tùy ý bằng cách lợi dụng thực tế là ChatGPT không xác thực rằng người dùng thực sự đã bắt đầu cài đặt plugin.

Điều này có thể cho phép các tác nhân đe dọa chặn và lấy cắp tất cả dữ liệu được chia sẻ bởi nạn nhân một cách hiệu quả, có thể chứa thông tin độc quyền.

Công ty an ninh mạng cũng phát hiện ra các vấn đề với PluginLab mà các tác nhân đe dọa có thể lợi dụng để thực hiện các cuộc tấn công chiếm đoạt tài khoản không cần nhấp chuột, cho phép chúng giành quyền kiểm soát tài khoản của tổ chức trên các trang web của bên thứ ba như GitHub và truy cập vào kho mã nguồn của họ.

"[Điểm cuối] 'auth.pluginlab[.]ai/oauth/authorized' không xác thực yêu cầu, điều đó có nghĩa là kẻ tấn công có thể chèn một memberId khác (hay còn gọi là nạn nhân) và lấy mã đại diện cho nạn nhân," nhà nghiên cứu bảo mật Aviad Carmel giải thích. “Với mã đó, anh ta có thể sử dụng ChatGPT và truy cập GitHub của nạn nhân.”

MemberId của nạn nhân có thể được lấy bằng cách truy vấn điểm cuối "auth.pluginlab[.]ai/members/requestMagicEmailCode." Không có bằng chứng nào cho thấy bất kỳ dữ liệu người dùng nào đã bị xâm phạm do lỗ hổng này.

Cũng được phát hiện trong một số plugin, bao gồm Kesem AI, là lỗi thao tác chuyển hướng OAuth có thể cho phép kẻ tấn công lấy cắp thông tin xác thực tài khoản được liên kết với chính plugin đó bằng cách gửi một liên kết được tạo đặc biệt cho nạn nhân.

Sự phát triển này diễn ra vài tuần sau khi Imperva trình bày chi tiết về hai lỗ hổng kịch bản chéo trang (XSS) trong ChatGPT có thể bị xâu chuỗi để chiếm quyền kiểm soát bất kỳ tài khoản nào.

Vào tháng 12 năm 2023, nhà nghiên cứu bảo mật Johann Rehberger cũng đã trình diễn cách các tác nhân độc hại có thể tạo GPT tùy chỉnh để lừa đảo lấy thông tin xác thực của người dùng và truyền dữ liệu bị đánh cắp đến máy chủ bên ngoài.

Các phát hiện này cũng theo sau nghiên cứu mới được công bố trong tuần này về một cuộc tấn công kênh bên LLM sử dụng độ dài mã thông báo làm phương tiện bí mật để trích xuất các phản hồi được mã hóa từ Trợ lý AI trên web.

Một nhóm học giả từ Đại học Ben-Gurion và Phòng thí nghiệm nghiên cứu AI tấn công cho biết: “LLM tạo và gửi phản hồi dưới dạng một loạt mã thông báo (giống như từ), với mỗi mã thông báo được truyền từ máy chủ đến người dùng khi nó được tạo”.

"Trong khi quá trình này được mã hóa, việc truyền mã thông báo tuần tự sẽ hiển thị một kênh bên mới: kênh bên có độ dài mã thông báo. Mặc dù đã mã hóa, kích thước của các gói có thể tiết lộ độ dài của mã thông báo, có khả năng cho phép những kẻ tấn công trên mạng suy ra thông tin nhạy cảm và bí mật được chia sẻ trong các cuộc trò chuyện riêng tư của trợ lý AI."

Điều này được thực hiện bằng một cuộc tấn công suy luận mã thông báo được thiết kế để giải mã các phản hồi trong lưu lượng được mã hóa bằng cách đào tạo mô hình LLM có khả năng dịch các chuỗi có độ dài mã thông báo thành các đối tác có ý nghĩa bằng ngôn ngữ tự nhiên của chúng (tức là văn bản gốc).

Nói cách khác, ý tưởng cốt lõi là chặn các phản hồi trò chuyện trong thời gian thực với nhà cung cấp LLM, sử dụng tiêu đề gói mạng để suy ra độ dài của mỗi mã thông báo, trích xuất và phân tích các phân đoạn văn bản, đồng thời tận dụng LLM tùy chỉnh để suy ra phản hồi.

Hai điều kiện tiên quyết chính để thực hiện cuộc tấn công là ứng dụng trò chuyện AI chạy ở chế độ phát trực tuyến và đối thủ có khả năng nắm bắt lưu lượng mạng giữa ứng dụng khách và chatbot AI.

Để chống lại tính hiệu quả của cuộc tấn công kênh bên, các công ty phát triển trợ lý AI nên áp dụng phần đệm ngẫu nhiên để che khuất độ dài thực tế của mã thông báo, truyền mã thông báo theo nhóm lớn hơn thay vì riêng lẻ và gửi phản hồi hoàn chỉnh cùng một lúc, thay vì trong một thời trang theo từng mã thông báo.

Các nhà nghiên cứu kết luận: “Cân bằng bảo mật với khả năng sử dụng và hiệu suất đặt ra một thách thức phức tạp đòi hỏi phải xem xét cẩn thận”.

Hương – Theo TheHackerNews

Tin liên quan:

Standard Post with Image

Thông báo thời gian nghỉ lễ Giỗ Tổ Hùng Vương 2024

NTS Group xin thông báo đến Quý khách hàng thời gian nghỉ lễ Giỗ Tổ Hùng Vương ngày Thứ Năm 18/04/2024 theo hướng dẫn của Chính Phủ ban hành. Chúng...

Chi tiết
Standard Post with Image

Năm công nghệ của Kaspersky để bảo vệ tài chính cá nhân của bạn

Tài chính kỹ thuật số của chúng ta dễ bị tấn công bởi tội phạm kỹ thuật số. Hãy cùng xem xét cách các công nghệ và sản phẩm của Kaspersky bảo vệ tiền...

Chi tiết
Standard Post with Image

Giải pháp bảo mật của Kaspersky giành được số lượng giải thưởng kỷ lục trong các cuộc thử nghiệm độc lập

Vào năm 2023, các sản phẩm và giải pháp của Kaspersky đã tham gia chính xác 100 nghiên cứu độc lập — giành chiến thắng 93 lần: năm thành công nhất từ...

Chi tiết