聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
发现该漏洞的研究人员指出,缓解措施并不完美,攻击者仍然可在某些条件下利用该漏洞。另外,ChatGPT 的iOS 移动应用版本尚未执行安全检查,因此该平台上的风险仍然未得到解决。
安全研究员 Johann Rehberger 发现通过利用技术可从 ChatGPT 提取数据并在2023年4月报送给 OpenAI 公司。随后,Rehberger 在2013年11月13日提供了关于创建利用该漏洞钓鱼用户的恶意 GPT 的更多信息。Rehberger 表示,报告工单在11月15日被判为“不适用”被关闭。随后他发送的两次问询邮件都未得到回复,因此选择公开提醒大家注意。
GPT 是被称为 “AI 应用”的自定义AI模型,发挥多种作用如客户支持代理、协助协作和翻译工作、执行数据分析、基于已有原料构造烹饪秘诀、收集研究数据甚至可以玩游戏。
Rehberger 在12月12日披露了该漏洞,演示了一个自定义的名为 “The Thief!”的GPT,可将会话数据提取到由研究员操纵的一个外部URL。数据盗取涉及镜像标记渲染和提示注入,因此攻击要求受害者提交攻击者直接提供的恶意提示,或者贴到某个受害者发现和使用的地方。
就像 Rehberger 演示的那样,也可使用恶意 GPT,而使用该 GPT 的用户不会意识到自己的会话详情以及元数据(时间戳、用户ID、会话ID)和技术数据(IP地址、用户代理字符串)被提取到了第三方。
Rehberger 将该漏洞详情发布后,OpenAI 调用验证API 执行客户端检查,阻止来自不安全URL的镜像进行渲染。Rehberger 在一篇新文章中提到,“当服务器返回带有超链接的镜像标记时,在决定展示镜像之前,会有验证API的 ChatGPT 客户端调用。由于 ChatGPT 并非开源,因此修复方案并非通过内容安全策略推送的,因此确切的验证详情尚不知晓。”
研究人员提到,在某些情况下 ChatGPT 仍然会将请求渲染到任意域名,因此攻击有时候仍然起作用,即使是测试同一个域名也会出现差距。由于决定URL是否安全的检查详情尚不清楚,因此还无法知道这些差距的确切原因。然而,值得注意的是利用该漏洞噪音更多、具有数据传输率限制以及更慢。
另外,客户端验证调用尚未在 iOS 移动应用上执行,因此攻击完全未缓解。
目前尚不清楚该修复方案是否推送到安卓版的 ChatGPT,目前该版本在 Google Play 上的下载量已经超过1000万次。
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~