ChatGPT es mucho más útil ahora que cuando apareció por primera vez, y esto se debe al uso de complementos y GPT. Bueno, si planeas usarlos, es posible que estés poniendo en riesgo tus datos y tu ciberseguridad. Investigadores de Salt Security descubrieron varias vulnerabilidades de seguridad con complementos y GPT que pueden haber provocado el pirateo de las cuentas de algunos usuarios de ChatGPT
Los complementos y GPT agregan más utilidad a ChatGPT. Permiten que el chatbot haga más que simplemente responder las típicas AI Preguntas sobre chatbots. Piense en los GPT como versiones más pequeñas de ChatGPT creadas por usuarios que están especializadas para realizar tareas específicas. Los usuarios crean estos GPT y los publican en la tienda de GPT. Entonces, considérelos como extensiones de Google Chrome. Los usuarios los crean y los publican en la tienda GPT, donde pueden instalarlos y usarlos dentro de ChatGPT.
Se encontraron vulnerabilidades de seguridad con algunos complementos de ChatGPT
Salt Security pudo encontrar tres problemas potenciales diferentes que afectan a los usuarios. Estos problemas podrían dar a los malos acceso a las cuentas de los usuarios, lo que nunca es bueno.
Primera vulnerabilidad
El primer problema de seguridad ocurre al instalar un complemento o GPT. Desafortunadamente, ChatGPT no verifica que un usuario haya comenzado a instalar un complemento. Este es un gran problema que se explicará en un momento.
Cuando instalas un nuevo complemento, ChatGPT necesita verificarlo. Para hacer esto, el sitio web del complemento deberá enviarle un código. Luego enviará ese código a ChatGPT, quien lo verificará con el sitio web. Una vez que ChatGPT verifica que el código es legítimo, se instala el complemento.
Sin embargo, esta es una forma para que los malos actores roben la información de las víctimas. El código secreto se almacena dentro de un enlace. Después de eso, el complemento se instala con las credenciales del usuario. Esto significa que el usuario tiene control sobre el complemento.
Por eso es malo que ChatGPT no verifique que los usuarios hayan iniciado el proceso de instalación. Un mal actor puede enviar a cualquier persona un enlace que contenga un código para instalar el complemento en su cuenta utilizando las credenciales del atacante. Dado que ChatGPT no verifica que el titular de la cuenta haya iniciado el proceso de instalación, cualquier persona que envíe el código puede instalar el complemento.
Una vez instalado, el atacante tendrá control sobre el GPT en la cuenta de la víctima. En ese momento, el atacante puede hacer que el complemento malicioso redirija todas sus conversaciones de chat e información a él. Esto pondrá toda su información confidencial en manos del atacante.
Segunda vulnerabilidad
La siguiente vulnerabilidad es una gran amenaza si utiliza el complemento AskTheCode. Este es un complemento que conecta su cuenta ChatGPT con su cuenta GitHub. Cuando instalas este complemento, en realidad crea una cuenta separada para almacenar tus credenciales de GitHub.
Bueno, los piratas informáticos pueden ingresar a las cuentas de GitHub de los usuarios y robar sus repositorios de GitHub a través de una vulnerabilidad. Según el informe, esta acción se realiza enviando a la víctima un enlace especial. El enlace revelará una pieza clave de información sobre el usuario, llamada su Identificación de miembroy enviarlo al atacante.
Bueno el Identificación de miembro de una persona es extremadamente crucial. Después de ese punto, el atacante va a ChatGPT e instala el complemento AskTheCode. En ese momento, instalarán el complemento y utilizarán el ID de miembro de la víctima para autenticarlo. Cuando eso suceda, el atacante obtendrá acceso a la cuenta AskTheCode y a la cuenta GitHub de la víctima. Esto le dará al atacante acceso a los repositorios.
Tercera vulnerabilidad
Por último, la tercera vulnerabilidad es similar a la segunda. El atacante enviaría un enlace malicioso a la víctima que instalará el complemento pero utilizando las credenciales de la víctima. Esto le dará al atacante control sobre la cuenta de la víctima.
Con suerte, estos problemas se solucionarán antes de que aparezcan más víctimas.