Kampuni ya Usalama Yasema Kiendelezi cha ChatGPT kwa Google Sheets Kinaweza Kuondoa Data za Mtumiaji
Kiendelezi cha ChatGPT kimefunuliwa kwa matumizi mabaya yanayoenea kwenye karatasi za kazi
Kampuni ya usalama inasema iligundua njia ya kufanya kiendelezi cha ChatGPT kwa Google Sheets kuondoa data kutoka kwenye akaunti ya mwathirika, jambo ambalo limeibua wasi wasi mpya kuhusu zana za AI za wahusika wa tatu zinazoweza kufanya kazi kwenye nyaraka nyeti za biashara.
Tatizo linahusu shambulio la kuchochea ombi kwa njia isiyo ya moja kwa moja ambalo linaweza kuanza na swali moja linaloonekana kuwa hatarishi kidogo katika karatasi moja ya kazi. Kwa mujibu wa watafiti, mwingiliano huo mmoja unaweza kutoshi kuanzisha athari pana zaidi kwa akaunti ya mtumiaji, ikiwa ni pamoja na kuiba data kutoka kwa workbook nyingi na kubadilisha upande wa ChatGPT (sidebar) na kiolesura kinachodhibitiwa na mshambuliaji.
Shambulio hilo halitegemei mtu kuidhinisha kila hatua. Watafiti walisema linafanikiwa hata wakati mtumiaji amewezisha mipangilio iliyokusudiwa kuhitaji idhini ya binadamu kabla ChatGPT kuhariri workbook, pamoja na udhibiti wa “Apply edits automatically”. Katika majaribio yao, yaliyomo yasiyotegemewa ndani ya karatasi — au yaliyovutwa kupitia konekta za ChatGPT — yaliweza kumdhibiti modeli ili iendeshe script ya nje inayodhibitiwa na mshambuliaji ambayo ilitumia ruhusa zilizotolewa tayari kwa kiendelezi hicho.
OpenAI hivi karibuni ilizindua kiendelezi cha Google Sheets, ambacho kimevutia zaidi ya upakuaji 185,000 katika chini ya mwezi mmoja. Kiendelezi hicho kinawezesha watumiaji kuingiliana na karatasi za kazi kupitia upande wa ChatGPT na pia kuchukua data kutoka kwa konekta za ChatGPT.
Katika sasisho lililotolewa baada ya utafiti kushirikiwa, OpenAI ilisema ilichukua hatua za haraka kulinda watumiaji kwa kuondoa uwezo wa modeli kuzalisha Apps Script code, hatua ambayo alisema inapaswa kuondoa hatari kwa watumiaji wa ChatGPT kwa Google Sheets. Kampuni pia ilisema inatafakari upya jinsi kipengele hicho kinavyoshirikiana na Google Sheets APIs na mbinu yake ya sandboxing.
Watafiti walisema walifichua udhaifu huo kwa uwajibikaji, lakini baada ya mawasiliano ya kufuatilia walipokea jibu la kiotomatiki pekee. Pia walisema kuwa nyaraka za OpenAI hazielezi wazi uwezo nyeti uliotolewa kwa modeli, ikiwa ni pamoja na uwezo wa kuendesha script zilizo na ruhusa maalum, au hatari zinazotokana na kuchochea ombi kwa njia isiyo ya moja kwa moja.
Matokeo hayo yanaongeza kwenye orodha inayokua ya wasiwasi wa usalama kuhusu zana za AI zilizojazwa ndani ya programu za uzalishaji, ambapo urahisi unaweza haraka kugeuka kuwa wazi kwa akaunti nzima wakati modeli inaruhusiwa kufanya kazi kwenye data zisizotegemewa.
Vyanzo: