Критические баги в ChatGPT-плагинах раскрывали конфиденциальные данные

В расширениях для ChatGPT нашли три уязвимости, открывающие несанкционированный доступ к аккаунтам пользователей и сервисам, включая репозитории на платформах вроде GitHub.

Разработчики размещают плагины для ChatGPT и кастомные версии бота для расширения функциональных возможностей ИИ-модели. Это подразумевает обмен информацией с внешними сервисами: ChatGPT получает возможность выполнять действия на сторонних сайтах (например, GitHub и Google Диск).

Исследователи из Salt Labs нашли сразу три критические уязвимости, одна из которых возникает в момент инсталляции новых плагинов — когда ChatGPT перенаправляет пользователей на сторонний ресурс для подтверждения кода.

В результате атакующие могут обманом заставить юзера одобрить вредоносный код, после чего несанкционированный плагин установится автоматически. Успешная эксплуатация этой бреши способна открыть злоумышленникам доступ к аккаунтам жертвы.

Ещё одну уязвимость нашли во фреймворке PluginLab, который используется при разработке плагинов. С его помощью киберпреступники могут выдать себя за целевого пользователя и тоже перехватить контроль над учётной записью.

Ещё одна проблема касается манипуляции редиректом OAuth, что позволяет атакующим внедрить вредоносные URL и украсть учётные записи пользователей.

К счастью, признаков эксплуатации уязвимостей в реальных атаках эксперты не нашли. Специалисты Salt Labs также отметили, что в настоящее время все лазейки закрыты.