Təhlükəsizlik tədqiqatçısı Eito Miyamura göstərib ki, hakerlər "Google Calendar" üzərindən göndərilən zərərli dəvət vasitəsilə ChatGPT-ni aldadaraq istifadəçinin şəxsi məktublarına çıxış əldə edə bilərlər.

Miyamuranın "X" sosial şəbəkəsində paylaşdığına görə, hücum belə həyata keçirilir: cinayətkar təqvimdə xüsusi təlimatlar yerləşdirilmiş tədbir yaradır və qurban assistentdən hər hansı tapşırıq icra etməsini xahiş edəndə, ChatGPT həmin təlimatları oxuyur və "Gmail"ə, o cümlədən şəxsi yazışmalara çıxış əldə edə bilir.

Mütəxəssisin sözlərinə görə, belə hücum üçün hakerə yalnız qurbanın e-poçt ünvanını bilmək kifayətdir.

Söhbət ChatGPT-nin "Gmail" və "Google Calendar" ilə birbaşa inteqrasiyasından gedir. Bu funksiya, məsələn, "Mənim bu gün təqvimimdə nə var?" kimi suallara əlavə əməliyyatsız cavab verməyə imkan yaradır.

Lakin bu avtomatlaşdırma risk də daşıyır. Əgər ChatGPT-yə təqvimə çıxış icazəsi verilibsə, zərərli dəvətə yerləşdirilən gizli komanda – yəni indirect prompt injection – vasitəsilə assistent istənilmədən hakerin göstərişlərini yerinə yetirə bilər.

"OpenAI" xəbərdarlıq edir ki, bu funksiyanı parametrlərdə söndürmək mümkündür və bununla da ChatGPT-nin poçt və təqvim məlumatlarından avtomatik istifadə etməsi dayandırıla bilər. Miyamura əlavə olaraq "Google" tərəfdən də təhlükəsizlik addımlarını tövsiyə edir: yalnız tanış kontaktlardan tədbir dəvətilərinə icazə vermək və rədd edilmiş dəvətləri gizlətmək.

Ekspertlərin vurğuladığına görə, bu hücum nə ChatGPT-ni, nə də "Gmail"i birbaşa sındırmır. Problem ondadır ki, xarici mənbələrlə işləyə bilən istənilən alət həmin mənbələrdə gizlədilmiş təlimatlara həssas ola bilər.
//valyuta.azскачать dle 11.3