کشف یک حفره بزرگ امنیتی در ChatGPT وجود خطر در فایل های آپلود شده !

محققان در حوزه امنیت سایبری به تازگی یک آسیب پذیری بسیار ساده در ChatGPT کشف کرده‌اند که به هکرها امکان دسترسی به فایل‌های آپلود شده توسط کاربران در سرورهای این چت‌بات را می‌دهد. این آسیب پذیری امنیتی باعث نقض امنیت فایل‌های آپلود شده بر روی سرور ChatGPT شده است.

توسعه‌دهندگان هوش مصنوعی ChatGPT روز به روز در حال اضافه کردن ویژگی‌ها و امکانات جدید به این ابزار کاربردی هستند و قصد دارند آن را به یک منبع قابل اعتماد و همه‌کاره تبدیل کنند. به همین دلیل، اخیراً ویژگی مفسر کد (Code Interpreter) را به ChatGPT اضافه کردند که نه‌تنها به شما اجازه می‌دهد با استفاده از هوش مصنوعی بهتر و با دقت بیشتری نسبت به قبل کدنویسی پایتون انجام دهید، بلکه امکان اجرای کدها در یک محیط کنترل‌شده را نیز فراهم می‌کند.

متأسفانه، محققان امنیت سایبری به‌تازگی متوجه شده‌اند که این محیط کنترل شده یا به عبارتی دیگر سندباکس (Sandbox) که به ChatGPT اجازه می‌دهد فرآیند تجزیه و تحلیل و ساخت نمودار را برعهده بگیرد، قابل سوءاستفاده توسط هکرها است و می‌تواند موجب سرقت اطلاعات شود.

این آسیب پذیری امنیتی در ChatGPT چگونه عمل می‌کند؟

این ویژگی‌های ویژه ChatGPT تنها با استفاده از حساب‌های ChatGPT Plus (که از آنها اشتراک خریداری شده است) قابل دسترسی است.

محققان متوجه شدند که هکرها می‌توانند با ارائه درخواست‌های دستورات تزریق شده (Injected Prompt Instructs) به ChatGPT، این سیستم هوش مصنوعی را مجبور به دریافت تمام فایل‌های موجود در پوشه /mnt/data/ (که در سرور قرار دارد و فایل‌های آپلود شده توسط کاربران در آن قرار دارند) می‌کنند و سپس آن‌ها را با استفاده از یک رشته URL رمزگذاری شده بارگذاری می‌کنند.

به زبان ساده، با استفاده از این روش، هکرها می‌توانند اطلاعات و داده‌های آپلود شده توسط کاربران ChatGPT را به وب‌سایت‌های خود منتقل کرده و به آن‌ها کامل دسترسی پیدا کنند.

برای اثبات این گفته‌ها، پژوهشگران امنیت سایبری ابتدا یک فایل به نام env_vars.txt ایجاد کردند که شامل یک کلید API جعلی و یک رمز عبور بود. این فایل همانند فایل‌هایی است که احتمالاً کاربرانی که در حال کدنویسی پایتون هستند، به ChatGPT ارائه می‌دهند و آن را در آدرس مشخصی آپلود می‌کنند.

به گزارش Tomshardware، در مرحله بعد، آنها به سادگی توانستند فایل مورد نظر را به ChatGPT آپلود کنند. برای انجام این کار، کافی است فایل را روی نماد گیره و کاغذ در ChatGPT کلیک کنید و سپس فایل مورد نظر را آپلود کنید. سپس مشاهده خواهید کرد که ChatGPT در حال بررسی و تحلیل فایل شما است.

همچنین، اکنون که ChatGPT Plus از ویژگی بارگذاری فایل و مفسر کد پشتیبانی می‌کند، می‌توانید ببینید که این چت‌بات مبتنی بر هوش مصنوعی در واقع قادر به ساخت، ذخیره و اجرای تمام فایل‌ها در یک ماشین مجازی با سیستم عامل لینوکس بر اساس اوبونتو می‌باشد.

در مرحله بعد، محققان یک صفحه وب ایجاد کردند که شامل مجموعه‌ای از دستورات بود و به ChatGPT دستور دادند تا تمام داده‌ها را از فایل‌های موجود در پوشه /mnt/data/ دریافت کند، آن‌ها را به یک رشته طولانی از متن کدگذاری شده با استفاده از URL تبدیل کند و سپس آن را به یک آدرس وب ارسال کند.