Salt Securityは、Salt Labsの調査結果を発表し、ChatGPTプラグインの重大なセキュリティー脆弱性を明らかにした。これらのプラグインは、ChatGPTがサードパーティーのサービスと対話できるようにすることで機能を強化し、外部プラットフォーム上の機密データやユーザーアカウントへの不正アクセスの潜在的なゲートウェイとして特定されている。この調査では、これらの欠陥により、攻撃者が組織アカウントを制御し、サードパーティーのアプリケーションに保存されている個人を特定できる情報(PII)にアクセスできる可能性があることが示されている。
Salt Labsによって発見された脆弱性は、3つの異なるタイプにまたがっている。1つ目は、新しいChatGPTプラグインのインストールプロセスであり、ユーザーは承認用のコードを取得するためにリダイレクトされる。研究者らは、このプロセスが攻撃者によって操作されて悪意のあるプラグインがインストールされ、機密情報への不正アクセスにつながる可能性があることを発見した。2つ目の問題は、ChatGPTプラグインの開発フレームワークであるPluginLab内で確認され、ユーザーアカウントを正しく認証できず、アカウント乗っ取りのリスクが生じた。3番目の脆弱性は、いくつかのプラグイン内のOAuthリダイレクト操作に関連しており、攻撃者が悪意のあるURLでユーザーをだまして認証情報を盗むことが可能になる。
Salt Labsは、これらの問題に対処するために、OpenAIおよび影響を受けるサードパーティーベンダーと連携した開示に取り組み、速やかに修正された。これらの脆弱性が実際に悪用されたという証拠はない。Salt Security社の研究担当副社長、Yaniv Balmas氏は、攻撃者による重要なビジネス資産へのアクセスを防ぐために、ChatGPTのような生成AIツールのプラグインを保護することの重要性を強調した。
2023年Q1のAPIセキュリティーレポートのSaltセキュリティー状況で報告されているように、Saltの顧客をターゲットとする攻撃者が400%増加しているという状況において、同社のAPIプロテクションプラットフォームはプロアクティブな防御を提供する。このプラットフォームはAIと機械学習を採用し、開発からデプロイメント、実行時までのライフサイクル全体を通じてAPIのリスクを特定し、軽減する。Salt Securityは、組織がAPIを保護し、デジタル資産と運用を確実に保護できるようサポートし続ける。
出典:プレスリリース
