ChatGPT插件漏洞：用户隐私安全面临威胁

关键要点

ChatGPT及其多个第三方插件存在漏洞，可能导致用户对话和其他账户内容泄露。疑似零点击漏洞可让攻击者访问受害者的私人GitHub仓库。漏洞已于发现后不久得到修复，但生成式AI工具的迅速演进仍可能带来新的风险。

本周三，Salt LabsSalt Security的一个部门在博客上发布了关于ChatGPT插件漏洞的研究。这些问题的报告分别在2023年7月和9月提交给ChatGPT及插件开发者，并且已得到解决。研究表明，这些漏洞可能使攻击者可以轻易获得用户的私人信息。

ChatGPT的插件现已被称为“动作”，这些动作可通过自定义GPT访问，是一个日益增长的“生成式AI生态系统”。这些插件使ChatGPT能与其他网站进行数据交互，包括用户的私人第三方账户，从而创造出新的攻击面。

海外加速器

Salt Security的研究副总裁Yaniv Balmas表示：“我们最近在ChatGPT中发现的漏洞突显出保护这一科技内插件的重要性，以确保攻击者无法访问关键业务资产或接管高管账户。”

OAuth实施缺陷遍及ChatGPT和多个插件

Salt Labs团队发现的三大主要漏洞均与Open AuthorizationOAuth标准的错误实施有关。OAuth允许应用程序无需用户直接提供登录凭证，就能访问其他网站的账户信息。

许多ChatGPT插件或自定义GPT使用OAuth让ChatGPT能访问用户在第三方网站的账户数据。当试图执行某些插件操作时，会要求在ChatGPT、用户和第三方网站之间请求和交换OAuth令牌。

如未正确实施，OAuth令牌可能会被截取、重定向或以其他方式被滥用，使攻击者能够访问受害者的账户或将受害者的账户连接到恶意应用程序。

Keeper Security的首席执行官及共同创始人Darren Guccione在邮件中告诉SC Media：“员工越来越多地将专有数据输入AI工具中包括知识产权、财务数据、商业战略等，恶意行为者的未授权访问可能对组织造成严重危害。”

Salt Labs发现的一个OAuth缺陷出现在PluginLab中，该框架被许多开发者用于创建ChatGPT插件。研究人员发现，使用PluginLab开发的多个插件存在零点击漏洞，允许攻击者访问受插件使用的网站上的受害者账户，包括GitHub。

研究人员演示了如何利用这一漏洞对“AskTheCode”插件进行攻击，该插件允许用户查询其GitHub仓库。他们发现，从AskTheCode发送到PluginLab授权页面的OAuth请求请求基于用户的“memberID”的令牌；由于PluginLab未对这些请求进行身份验证，攻击者可以篡改请求以插入任意用户的memberID。

memberID很容易被已经知道目标电子邮件地址的攻击者获取，因为该ID是用户电子邮件地址的SHA1哈希；同时，发现PluginLab的API端点在使用包含用户电子邮件的请求时泄露memberID。

一旦攻击者获得了包含目标memberID的OAuth令牌，他们可以将该令牌转发给ChatGPT，并使用AskTheCode从ChatGPT界面访问受害者的GitHub仓库。这将包括询问所有私人仓库的列表和读取特定文件的权限，可能会泄露专有代码、私钥和其他机密信息。

Salt Labs描述的另外两个漏洞攻击需要受害者点击链接以暴露其个人数据。一个是在ChatGPT本身发现的漏洞，涉及攻击者创建自己的插件并让ChatGPT向攻击者控制的域请求OAuth令牌。当OAuth令牌生成时，用户会被重定向到含有OAuth代码的OpenAI链接用于身份验证。

如果攻击者将该链接发送给受害者，而受害者已登录其OpenAI账户，点击该链接将自动将攻击者的插件安装到他们的账户中，无需任何确认。插件随后可能会收集受害者在ChatGPT对话中的敏感信息。

另一个漏洞则在多个ChatGPT插件中发现，包括“Charts by Kesem AI”，这些插件未能验证OAuth令牌发送的“redirecturi”链接。这使得攻击者可以将自己的域名插入为redirecturi，并将修改后的身份验证链接发送给目标。

当目标点击此链接时，将