محققان در حوزه امنیت سایبری به تازگی یک آسیب پذیری بسیار ساده در ChatGPT کشف کردهاند که به هکرها امکان دسترسی به فایلهای آپلود شده توسط کاربران در سرورهای این چتبات را میدهد. این آسیب پذیری امنیتی باعث نقض امنیت فایلهای آپلود شده بر روی سرور ChatGPT شده است.
توسعهدهندگان هوش مصنوعی ChatGPT روز به روز در حال اضافه کردن ویژگیها و امکانات جدید به این ابزار کاربردی هستند و قصد دارند آن را به یک منبع قابل اعتماد و همهکاره تبدیل کنند. به همین دلیل، اخیراً ویژگی مفسر کد (Code Interpreter) را به ChatGPT اضافه کردند که نهتنها به شما اجازه میدهد با استفاده از هوش مصنوعی بهتر و با دقت بیشتری نسبت به قبل کدنویسی پایتون انجام دهید، بلکه امکان اجرای کدها در یک محیط کنترلشده را نیز فراهم میکند.
متأسفانه، محققان امنیت سایبری بهتازگی متوجه شدهاند که این محیط کنترل شده یا به عبارتی دیگر سندباکس (Sandbox) که به ChatGPT اجازه میدهد فرآیند تجزیه و تحلیل و ساخت نمودار را برعهده بگیرد، قابل سوءاستفاده توسط هکرها است و میتواند موجب سرقت اطلاعات شود.
این آسیب پذیری امنیتی در ChatGPT چگونه عمل میکند؟
این ویژگیهای ویژه ChatGPT تنها با استفاده از حسابهای ChatGPT Plus (که از آنها اشتراک خریداری شده است) قابل دسترسی است.
محققان متوجه شدند که هکرها میتوانند با ارائه درخواستهای دستورات تزریق شده (Injected Prompt Instructs) به ChatGPT، این سیستم هوش مصنوعی را مجبور به دریافت تمام فایلهای موجود در پوشه /mnt/data/ (که در سرور قرار دارد و فایلهای آپلود شده توسط کاربران در آن قرار دارند) میکنند و سپس آنها را با استفاده از یک رشته URL رمزگذاری شده بارگذاری میکنند.
به زبان ساده، با استفاده از این روش، هکرها میتوانند اطلاعات و دادههای آپلود شده توسط کاربران ChatGPT را به وبسایتهای خود منتقل کرده و به آنها کامل دسترسی پیدا کنند.
برای اثبات این گفتهها، پژوهشگران امنیت سایبری ابتدا یک فایل به نام env_vars.txt ایجاد کردند که شامل یک کلید API جعلی و یک رمز عبور بود. این فایل همانند فایلهایی است که احتمالاً کاربرانی که در حال کدنویسی پایتون هستند، به ChatGPT ارائه میدهند و آن را در آدرس مشخصی آپلود میکنند.
به گزارش Tomshardware، در مرحله بعد، آنها به سادگی توانستند فایل مورد نظر را به ChatGPT آپلود کنند. برای انجام این کار، کافی است فایل را روی نماد گیره و کاغذ در ChatGPT کلیک کنید و سپس فایل مورد نظر را آپلود کنید. سپس مشاهده خواهید کرد که ChatGPT در حال بررسی و تحلیل فایل شما است.
همچنین، اکنون که ChatGPT Plus از ویژگی بارگذاری فایل و مفسر کد پشتیبانی میکند، میتوانید ببینید که این چتبات مبتنی بر هوش مصنوعی در واقع قادر به ساخت، ذخیره و اجرای تمام فایلها در یک ماشین مجازی با سیستم عامل لینوکس بر اساس اوبونتو میباشد.
در مرحله بعد، محققان یک صفحه وب ایجاد کردند که شامل مجموعهای از دستورات بود و به ChatGPT دستور دادند تا تمام دادهها را از فایلهای موجود در پوشه /mnt/data/ دریافت کند، آنها را به یک رشته طولانی از متن کدگذاری شده با استفاده از URL تبدیل کند و سپس آن را به یک آدرس وب ارسال کند.
دیدگاه خود را بنویسید