ChatGPT插件漏洞可能让黑客接管其他账户

新研究发现ChatGPT存在安全漏洞，可能允许黑客接管用户的其他帐户，例如GitHub。

SaltSecurity发现各种ChatGPT插件存在严重的安全漏洞。这些插件允许AI工具访问其他网站并执行某些任务，例如在GitHub中提交代码和从GoogleDrive检索数据。

利用这些漏洞，威胁者可以接管第三方账户并访问其中的敏感数据。这些漏洞现已得到修复。

ChatGPT插件中发现了三个不同的漏洞。第一个是在用户安装新插件时发现的。ChatGPT会向用户发送一个允许安装的代码。然而，恶意行为者可能会向用户发送一个允许安装恶意插件的代码。

第二个漏洞出现在PluginLab，这是一个用于开发ChatGPT插件的网站。该网站未能正确验证用户账户，这又可能让黑客接管这些账户。受影响的插件之一是“AskTheCode”，它集成在ChatGPT和GitHub之间。

第三个漏洞是在多个插件中发现的，涉及OAuth重定向操作。这也可能允许账户接管。由于URL未经插件验证，攻击者可能会向用户发送恶意链接，用于窃取他们的凭据。