ChatGPT 连接器被曝漏洞:无需用户操作即可窃取敏感数据
摘要:
安全研究人员近日披露了OpenAI旗下连接器(Connectors)存在的安全漏洞。该漏洞可被攻击者利用,通过间接提示注入攻击,在无需用户交互的情况下从Google Drive账户中提取敏感信息。
在拉斯维加斯举办的Black Hat黑客大会上,安全研究人员Michael Bargury和Tamir Ishay Sharbat公布了这一发现。Bargury介绍,利用该漏洞实施的攻击属于“零点击”类型,攻击者仅需获取用户电子邮件并共享文档,即可完成操作。不过,他同时指出,这种攻击方式每次只能提取有限数据,无法移除完整文档。
据了解,Connectors是OpenAI今年早些时候为ChatGPT推出的测试功能,支持用户“将其工具和数据带入ChatGPT”,并实现“在聊天中搜索文件、拉取实时数据、引用内容”等操作,目前可关联的服务至少有17种。
值得注意的是,Bargury透露其已于今年早些时候向OpenAI报告了相关发现。OpenAI方面迅速采取行动,引入缓解措施,防范通过该连接器提取数据的技术手段。
截至目前,OpenAI尚未就该漏洞相关问题作出公开回应。(纯钧)
