近日,《连线》杂志发布了一篇引人关注的博文中指出,安全研究人员在 OpenAI 的 Connectors 系统中发现了一个重大安全漏洞。这一漏洞使得攻击者无需用户任何交互操作,即可直接从 Google Drive 中非法提取敏感数据。
这一发现是在著名的拉斯维加斯 Black Hat 黑客大会上由安全研究人员 Michael Bargury 和 Tamir Ishay Sharbat 当众演示的。他们在会上详细讲解了 OpenAI 连接器中存在的一个重大安全隐患,并现场展示了攻击的技术细节。
通过巧妙的间接提示注入攻击方式,攻击者能够绕过常规的安全防护机制,从 Google 账户中窃取敏感信息。在实际演示中,研究人员成功从一个测试账户中提取出了关键的开发者密钥等重要数据。
更令人担忧的是,这种攻击方式完全无需用户的任何配合操作。Bargury 在会上强调:”我们展示了一个典型的零点击攻击案例;只需要知道目标的电子邮箱,并且你与该账户共享过文档,就足以发起攻击。这绝对是非常危险的”。
针对这一安全漏洞,OpenAI 公司目前尚未作出正式回应。据了解,Connectors 功能是 OpenAI 今年初作为 ChatGPT 的测试功能推出的,其官方文档中列出了至少 17 种可与其集成的服务。
OpenAI 官方介绍,Connectors 系统旨在让用户能够将各类工具和服务接入 ChatGPT,并在对话中实现文件搜索、实时数据调用以及内容引用等多种功能。
据了解,在今年早些时候,Bargury 就已经将这一漏洞报告给了 OpenAI。该公司随后迅速采取行动,部署了相应的防护措施来阻止类似的数据提取攻击。不过研究人员指出,虽然目前的防御机制能够限制单次攻击的数据获取量,但整个系统仍然存在被滥用的风险。
相关文章
