Ana Sayfa

Güvenlik araştırmacıları Gmail'den sırları kaydırdı. Bir chatgpt ajanı yardımcı oldu

Y
Yönetici@admin
19 Eylül 2025
Güvenlik araştırmacıları Gmail'den sırları kaydırdı. Bir chatgpt ajanı yardımcı oldu

Güvenlik araştırmacıları, kullanıcıları uyarmadan Gmail gelen kutularından hassas verileri yağmalamak için CHATGPT'yi yardımcı komplocu olarak istihdam ettiler. Güvenlik açığı sömürülmesi Openai tarafından kapatıldı, ancak Ajan AI'nın doğasında var olan yeni risklerin iyi bir örneğidir.

Soygun, Gölge Sızıntısı Ve Güvenlik firması Radware tarafından bu hafta yayınlandıAI ajanlarının nasıl çalıştığı konusunda bir tuhaflığa dayanıyordu. AI ajanları, sizin adınıza sürekli gözetim olmadan hareket edebilen asistanlardır, yani web'de sörf yapabilir ve bağlantılara tıklayabilirler. AI şirketleri, kullanıcılar kişisel e -postalara, takvimlere, çalışma belgelerine vb. Erişime izin verdikten sonra büyük bir zamanlar olarak övgüde bulundu.

Radware araştırmacıları, bu yardımseverliği hızlı bir şekilde enjeksiyon adı verilen bir saldırı ile kullandı, ajanın saldırgan için çalışmasını etkili bir şekilde sağlayan talimatlar. Güçlü araçların, çalışan bir istismar hakkında önceden bilgi sahibi olmadan önlenmesi imkansızdır ve bilgisayar korsanları, bunları zaten yaratıcı yollarla kullanmıştır. Dolgunluk Akran Yorumu- Dolandırıcılık yürütmeVe Akıllı bir evi kontrol etmek. Kullanıcılar genellikle bir şeylerin yanlış gittiğini bilmiyorlar, çünkü talimatlar düz bir şekilde (insanlara), örneğin beyaz bir arka plan üzerinde beyaz metin olarak gizlenebileceğinden.

Bu durumda çift ajan, bu yılın başlarında piyasaya sürülen ChatGPT'ye gömülü bir AI aracı olan Openai'nin Deep Research'iydi. Radware araştırmacıları, ajanın erişebileceği bir Gmail gelen kutusuna gönderilen bir e -postaya hızlı bir enjeksiyon ekledi. Orada bekledi.

Kullanıcı bir sonraki derin araştırmalar kullanmaya çalıştığında, farkında olmadan tuzağı yayarlardı. Temsilci, İK e -postaları ve kişisel bilgileri aramak ve bunları bilgisayar korsanlarına kaçırma ile görevlendiren gizli talimatlarla karşılaşır. Kurban hala daha akıllı değil.

Bir ajanın hayduta çıkması ve verileri başarıyla almayı başarmak, şirketlerin önlemek için adımlar atabileceği - kolay bir iş değildir ve çok fazla deneme yanılma vardı. Araştırmacılar, “Bu süreç başarısız girişimlerin, sinir bozucu engellerin ve son olarak bir atılımın rollercoaster'ıydı” dedi.

Çoğu hızlı enjeksiyondan farklı olarak, araştırmacılar Gölge Sızıntısının Openai'nin bulut altyapısında yürütüldüğünü ve doğrudan oradan verileri sızdırdığını söyledi. Bu, standart siber savunmalar için görünmez hale getirdi.

Radware, çalışmanın bir kavram kanıtı olduğunu ve Outlook, GitHub, Google Drive ve Dropbox dahil olmak üzere derin araştırmalara bağlı diğer uygulamaların benzer saldırılara karşı savunmasız olabileceği konusunda uyardı. “Aynı teknik, sözleşmeler, toplantı notları veya müşteri kayıtları gibi son derece hassas iş verilerini yaymak için bu ek konektörlere uygulanabilir” dedi.

Araştırmacılar, Openai'nin Haziran ayında Radware tarafından işaretlenen kırılganlığı taktığını söyledi.



Source link

Yorumlar

Henüz yorum yok. İlk yorumu siz yazın!