ChatGPT for Google Sheets में डेटा चोरी की भेद्यता
मूल शीर्षक: ChatGPT for Google Sheets exfiltrates workbooks
यह क्यों महत्वपूर्ण है
AI tools की बढ़ती popularity के साथ security vulnerabilities का जोखिम बढ़ता जा रहा है।
OpenAI के ChatGPT for Google Sheets एक्सटेंशन में indirect prompt injection के जरिए डेटा चोरी और फिशिंग हमले की भेद्यता पाई गई। यह हमला बिना उपयोगकर्ता की अनुमति के workbooks तक पहुंच बना सकता है।
PromptArmor के शोधकर्ताओं ने OpenAI के ChatGPT for Google Sheets एक्सटेंशन में गंभीर सुरक्षा भेद्यता की खोज की है। यह एक्सटेंशन लॉन्च के एक महीने में 185,000 से अधिक डाउनलोड हो चुका है। भेद्यता के कारण एक single indirect prompt injection से कई गंभीर समस्याएं हो सकती हैं: victim के account से multiple workbooks की चोरी, interactive phishing pop-up का display, GPT sidebar को attacker-controlled interface से overwrite करना, और workbooks में unauthorized edits। यह हमला तब होता है जब कोई untrusted data source ChatGPT को manipulate करके attacker-controlled external script चलाता है। OpenAI को responsible disclosure किया गया लेकिन automated reply के अलावा कोई जवाब नहीं मिला। OpenAI ने बाद में model की Apps Script code generate करने की क्षमता को हटा दिया और sandboxing approach की पुन: समीक्षा करने की बात कही।