jeudi, 18 juillet 2024

Les plugins ChatGPT divulguent des données sensibles

Cela a été découvert par des chercheurs de Salt Security. Les plugins ChatGPT offrent des capacités d’interaction avec des services tiers. Ils effectuent des tâches pour les utilisateurs sur des plateformes telles que GitHub, Google Drive et Salesforce. Ces plugins aident à étendre les fonctionnalités de ChatGPT, telles que l’accès aux informations sur Google Drive.

« Lorsque vous utilisez ces plugins, vous donnez réellement l’autorisation à ChatGPT d’envoyer des données délicates à votre place à un site Web tiers, et en fonction du plugin, vous autorisez également ces plugins à accéder à vos comptes privés sur Google Drive, GitHub et plus », décrit Salt Security.

Trois vulnérabilités

Les chercheurs ont trouvé un certain nombre de vulnérabilités dans les plugins. La première est une vulnérabilité dans ChatGPT lui-même. Lorsque les utilisateurs installent de nouveaux plugins, ChatGPT dirige l’utilisateur vers le site du plugin pour autoriser un code. ChatGPT peut alors interagir avec le plugin au nom de l’utilisateur. Cependant, un acteur destructeur peut abuser de ce processus en demandant l’approbation du code avec un plugin nuisible. Le plugin nuisible leur permet d’attaquer le compte utilisateur de la victime. Ensuite, chaque message d’un utilisateur vers ChatGPT est transmis au plugin. Si des détails délicats sont partagés, cela aboutit alors à une célébration destructrice.

Les autres vulnérabilités concernent davantage les services externes. Il s’agit d’une vulnérabilité dans PluginLab, une structure permettant d’établir des plugins. Salt Security a découvert que PluginLab n’avait pas confirmé correctement le compte utilisateur tout au long de l’installation. En exploitant intelligemment cela, un pirate informatique pourrait s’emparer d’un compte. Il existait une autre vulnérabilité liée à la redirection OAuth. Il s’est avéré que ce processus pouvait être abusé en envoyant un lien déclenchant un processus visant à voler les qualifications de connexion. Une fois de plus, cela a conduit à la prise de contrôle d’un compte.

Salt Security a alerté OpenAI et les fournisseurs tiers. Les vulnérabilités ont depuis été réparées.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

xnxx sex download russianporntrends.com hardxxxpics saboten campus freehentai4u.com read manga porn rakhi sex photo ganstagirls.com nani sex video xxx indian girl video download elporno.mobi tamilauntycom bf hd video bf hd video porn555.me anyporn hd tamil beach sex erolenta.com xxx sex boy to boy bustyboobs pakistanixxxx.com nude sexy videos desi sex xvideos.com tubaka.mobi justdesi in free naked dance vegasmpegs.mobi eva grover desi ass lick eroanal.net 69 xvideo 4k xnxx thefuckingtube.com xxii roman numerals translation tamil nayanthara sex sexozavr.com indian porn videos tumblr كلبات سكس porn-arab.net نيك ف الكس y3df comics popsexy.net akhil wife hentai ahri wowhentai.net the sarashina bloodline