Aujourd'hui, les services alimentés par l'IA font déjà partie du courant dominant. Cela signifie que de plus en plus de gens les utilisent activement, les intégrant dans leur vie quotidienne. Cependant, tout comme lors de la navigation sur Internet, il y a certaines précautions à prendre lors de l'utilisation de l'IA que beaucoup de gens négligent. Le résultat final sera de compromettre votre propre sécurité de données. Dans un nouveau développement, une entreprise de cybersécurité a trouvé un défaut dans le chatppt qui aurait pu permettre aux pirates de voler des informations privées sur le compte Gmail d'un utilisateur.
La vulnérabilité du chatppt a trouvé qui aurait pu exposer les données Gmail
Pour commencer, Radware est l'équipe qui a découvert la vulnérabilité. Openai a déjà envoyé un patch pour cela. Cependant, les résultats mettent en évidence un paysage de menace nouveau et complexe.
L'équipe de cybersécurité a trouvé le problème dans la fonction de «recherche profonde» de Chatgpt. Si vous n'êtes pas au courant, cette fonctionnalité peut analyser de grandes quantités d'informations à partir d'applications connectées comme Gmail et Google Drive. Selon Radware, un pirate aurait pu faire un e-mail spécial avec des instructions secrètes. Si un utilisateur demandait à Chatgpt d'effectuer une requête de recherche profonde sur sa boîte de réception Gmail, le chatbot pourrait être trompé dans la numérisation et la fuite de données sensibles à un site Web contrôlé par des pirates. Ces données pourraient aller des noms aux adresses.
Ce qui rend cette vulnérabilité particulièrement notable, c'est qu'il s'agit d'un exemple d'un agent d'IA manipulé pour voler des données (comme l'a rapporté Bloomberg. Habituellement, les mauvais acteurs utilisent l'IA comme un outil pour lancer une attaque directe. Le processus était difficile à exécuter. Il nécessitait un scénario très spécifique. L'utilisateur devrait avoir pour demander une requête liée à un sujet (comme les RH) que l'e-mail malveillant a été conçu pour exploiter.
La menace a également été difficile pour les outils de sécurité traditionnels à détecter. Radware a noté que les mesures de sécurité standard ne pouvaient pas voir ou arrêter l'envoi de données. En effet
Vulnérabilité corrigée rapidement, mais reflète une nouvelle catégorie de menace
Openai a été informé de la faille et l'a corrigé en août avant de le reconnaître en septembre. Un porte-parole de la société a déclaré que la sécurité de ses modèles est une priorité absolue. Ils ont également déclaré qu'ils accueillent les recherches de la communauté qui les aidaient à améliorer leur technologie.
Heureusement, cette vulnérabilité n'est plus exploitable. Mais, la découverte indique une nouvelle catégorie de risques de sécurité. À mesure que les agents de l'IA deviennent plus puissants et intégrés dans notre vie quotidienne, en veillant à ce qu'ils ne soient pas un vecteur de vol de données seront un défi essentiel pour les développeurs et les professionnels de la cybersécurité.
