近期,安全领域传来新警报,据《连线》杂志报道,安全专家在OpenAI推出的连接器(Connectors)功能中发现了一个重大安全隐患。这一漏洞允许攻击者在不需用户任何操作的情况下,从Google Drive账户中窃取数据。
在拉斯维加斯举办的Black Hat黑客大会上,安全研究员Michael Bargury与Tamir Ishay Sharbat详细披露了这一漏洞。他们指出,利用间接提示注入攻击手法,攻击者能够悄无声息地从目标Google Drive账户中抽取敏感信息。Bargury在大会现场演示了这一攻击,成功从一个演示账户中提取了开发者密钥,过程之顺利令人震惊。
Bargury强调,这次攻击完全无需用户参与:“我们证明,只需知道你的电子邮件,与你分享一个文档,攻击就能完成。这是非常严重的安全问题。”他透露,自己今年早些时候已向OpenAI报告了这些发现,该公司迅速采取行动,部署了缓解措施,阻止了他利用Connectors提取数据的技术。然而,这种攻击方式每次只能提取有限的数据量,无法一次性移除完整文档。
OpenAI今年早些时候推出了Connectors作为ChatGPT的测试功能,旨在让用户“将工具和数据带入ChatGPT”,实现“在聊天中搜索文件、拉取实时数据、引用内容”的便捷操作。目前,OpenAI尚未对《连线》关于Connectors漏洞的评论请求作出回应。
尽管OpenAI迅速采取了应对措施,但此次事件再次提醒了业界和用户,随着AI技术的快速发展,数据安全风险也随之增加。用户需保持警惕,及时更新软件补丁,以防范潜在的安全威胁。
安全专家建议,企业和个人用户在使用类似ChatGPT等AI服务时,应谨慎处理敏感信息,避免将重要数据存放在可能受到攻击的地方。同时,AI服务提供商也应加强安全防护措施,定期进行安全审计和漏洞扫描,确保用户数据的安全。
