近期,安全研究界傳來(lái)新消息,兩位安全專家在Black Hat黑客大會(huì)上公開(kāi)了一項(xiàng)關(guān)于OpenAI旗下連接器(Connectors)的重大安全發(fā)現(xiàn)。據(jù)外媒詳細(xì)報(bào)道,這一漏洞允許攻擊者在不需用戶任何操作的情況下,從Google Drive賬戶中竊取敏感信息。
在大會(huì)現(xiàn)場(chǎng),Michael Bargury與Tamir Ishay Sharbat詳細(xì)闡述了他們的研究成果。他們指出,利用這一漏洞實(shí)施的攻擊方式極為隱蔽,屬于“零點(diǎn)擊”攻擊范疇。攻擊者僅需獲取目標(biāo)用戶的電子郵件地址,并通過(guò)共享文檔的方式,即可在不被察覺(jué)的情況下執(zhí)行數(shù)據(jù)提取操作。不過(guò),盡管攻擊手段隱蔽,但每次攻擊所能提取的數(shù)據(jù)量有限,無(wú)法直接獲取完整文檔。
Connectors是OpenAI今年早些時(shí)候?yàn)镃hatGPT推出的一項(xiàng)測(cè)試功能,旨在讓用戶能夠“將工具和數(shù)據(jù)帶入ChatGPT”,實(shí)現(xiàn)“在聊天中搜索文件、拉取實(shí)時(shí)數(shù)據(jù)、引用內(nèi)容”等便捷操作。目前,該功能已支持至少17種服務(wù)的關(guān)聯(lián)。
值得注意的是,Bargury透露,他早在今年年初就已將這一安全漏洞報(bào)告給了OpenAI。OpenAI對(duì)此高度重視,并迅速采取了相應(yīng)的緩解措施,以防止攻擊者通過(guò)該連接器進(jìn)一步提取數(shù)據(jù)。
盡管OpenAI已采取行動(dòng),但截至目前,尚未就該漏洞及其可能帶來(lái)的風(fēng)險(xiǎn)作出公開(kāi)回應(yīng)。這一事件再次引發(fā)了業(yè)界對(duì)人工智能產(chǎn)品安全性的廣泛討論,強(qiáng)調(diào)了企業(yè)在推出新功能時(shí),必須加強(qiáng)對(duì)安全漏洞的防范和應(yīng)對(duì)。
