OpenAI ChatGPT’deki Güvenlik Açığı: ChatGPhish
Siber güvenlik araştırmacıları, OpenAI ChatGPT’de, yapay zeka asistanının Markdown bağlantılarına ve resimlere duyduğu örtük güveni kullanarak komut enjeksiyonlarını tetikleyen ve phishing saldırılarına kapı açan bir güvenlik açığı tespit etti. Permiso Security tarafından “ChatGPhish” adı verilen bu teknik, önemli bir tehdit oluşturmaktadır.
Saldırı Nasıl Çalışıyor?
ChatGPT, özetlediği üçüncü taraf sayfalardaki Markdown bağlantılarını ve resim URL’lerini güvenilir öğeler olarak varsayıyor. Güvenlik araştırmacısı Andi Ahmeti’nin “The Hacker News” ile paylaştığı rapora göre, “chatgpt.com yanıt oluşturucu, asistanın özetlediği bir sayfadan gelen Markdown bağlantıları ve resim URL’lerine güveniyor ve bu öğeleri otomatize bir şekilde alarak, güvenilir kullanıcı arayüzünde tıklanabilir elemanlar olarak sergiliyor.”
Hipotetik bir saldırı senaryosunda, kötü niyetli bir aktör, kullanıcıların daha sonra ChatGPT’den özetlemesini istediği her web sayfasına küçük bir yük ekleyebilir. Bu durumda, saldırgının barındırdığı resimler otomatik olarak alındığında, kurbanın IP, Kullanıcı-Ajandı ve Referans bilgilerinin sızdırılması sağlanabilir.
Ayrıca, kötü niyetli Markdown bağlantıları yanıt içinde canlı tıklanabilir öğeler olarak sunulabilir; yanıltıcı sistem tarzı güvenlik uyarıları gösterebilir ve saldırganın S3 deposundan gelen bir QR kodunu sunarak kurbanı mobil cihazlarıyla bunu taramaya zorlayabilir. Böylece, masaüstü URL filtrelerini ve kurumsal güvenlik kontrollerini atlatmış olur.
Etkilenen Sistemler
Belirtilen açığın etkilediği sistemler ve sürümler şunlardır:
- OpenAI ChatGPT
- Özetleme işlevselliğine sahip diğer yapay zeka uygulamaları
Çözüm ve Korunma
Bu tür saldırılara karşı korunmak için alabileceğiniz önlemler:
- ChatGPT ve benzeri yapay zeka uygulamalarını kullanırken dikkatli olun! Şüpheli bağlantılara ve içeriklere karşı temkinli yaklaşın.
- Güncellemeleri takip edin ve yazılımı her zaman en son sürüme güncel tutun.
- Kurumsal güvenlik politikalarınızı gözden geçirin ve ilgili filtrelemeleri güncelleyin.
CVE kodlarını ve güvenlik açıklarını dikkate alarak sistemlerinizi daha iyi koruma altına alabilir, bu tür tehditlere karşı önceden önlem alabilirsiniz. Örneğin, Markdown bağlantılarını ve resimleri otomatik olarak almayı engelleyen ayarları kullanarak güvenliğinizi artırabilirsiniz.
Sonuç
Yukarıda belirtilen güvenlik açığı, ChatGPT ve benzeri yapay zeka uygulamalarını kullanan her birey ve organizasyon için önemli bir tehdit oluşturmaktadır. Bu nedenle, dikkatli olunması ve güvenlik önlemlerinin alınması kritik bir öneme sahiptir. Kullanıcılar, hemen güncellemeleri kontrol etmeli ve olumsuz durumları önlemek için gerekli tedbirleri almalılar.
