Isroil kompaniyasi ChatGPT hisoblarini masofadan buzish usullarini oshkor qildi
20
468
0
Isroil kiberxavfsizlik kompaniyasi Zenity foydalanuvchi hech qanday havolani bosmagan holda ChatGPT hisobini nazorat qilish va maxfiy ma'lumotlarni olish usullarini oshkor qildi.
Isroil kiberxavfsizlik kompaniyasi Zenity OpenAIning ChatGPT xizmatidagi birinchi "Zero Click" zaifligini oshkor qildi va foydalanuvchi hech qanday havola bosmagan, fayl ochmagan yoki ataylab harakat qilmagan holda ChatGPT hisobini nazorat qilish hamda maxfiy ma'lumotlarni olish usullarini ko'rsatdi.
Namoyish Zenity kompaniyasining hammuassisi va texnologiyalar bo'yicha rahbari Mixail Bergori tomonidan AQShning Las-Vegas shahrida o'tgan hafta bo'lib o'tgan Black Hat 2025 konferensiyasida amalga oshirildi.
U haker faqat foydalanuvchining elektron pochta manzilidan foydalanib tizimni buzish, foydalanuvchining suhbati ustidan to'liq nazorat o'rnatish, jumladan, o'tmish va kelajakdagi suhbatlarga kirish, suhbat maqsadlarini o'zgartirish va chatni haker nomidan harakat qilishga yo'naltirish usullarini ko'rsatdi.
Ma'ruza davomida hujumga uchragan ChatGPT foydalanuvchisiga qarshi yashirincha ishlovchi zararli agent sifatida qanday harakat qilishi namoyish etildi. Tadqiqotchilar haker chatbotni foydalanuvchiga ma'lum virusni yuklab olishni tavsiya qilish, noto'g'ri biznes maslahatlarini berish yoki hatto hisobga ulangan Google Drayvda saqlangan fayllarga kirish uchun qanday yo'naltirishi mumkinligini ko'rsatdilar.
Bularning barchasi foydalanuvchi biror narsa noto'g'ri ketayotganini sezmasdan amalga oshirilishi mumkin edi. Zaiflik Zenity kompaniyasi bu haqda OpenAIga xabar berganidan keyin to'liq tuzatildi.
ChatGPTdan boshqa sun'iy idrok modellari ham zaif
Konferensiya davomida kompaniya tadqiqotchilari boshqa mashhur SI agent xizmatlarini ham buzishga muvaffaq bo'lganliklarini ko'rsatdilar. Microsoftning Copilot Studio xizmatida butun CRM ma'lumotlar omborini sizdirib olish usuli oshkor qilindi.
Salesforce Einstein holatida hakerlar barcha mijoz aloqalarini o'zlarining nazorati ostidagi elektron pochta manzillariga yo'naltiruvchi soxta xizmat so'rovlarini yaratdilar.
Google Gemini va Microsoft 365 Copilot tizimlari foydalanuvchilarga nisbatan ijtimoiy muhandislik olib boruvchi va maxfiy suhbatlarni elektron pochta xabarlari hamda kalendar voqealari orqali sizdiruvchi dushman agentlariga aylantirildi.
Jira MCP bilan uyg'unlashtirilgan Cursor dasturlash vositasi ham zararli chiptalar orqali dasturchilarning kirish ma'lumotlarini o'g'irlash hujumida ishlatildi.
Zenity ta'kidladicha, OpenAI va Microsoft kabi ba'zi kompaniyalar hisobot kelganidan keyin tezda patchlar chiqardi. Biroq, zaifliklarni bartaraf etishdan bosh tortgan va buni xavfsizlik kamchiligi emas, balki tizimning mo'ljallangan xatti-harakati deb da'vo qilgan kompaniyalar ham bor.
Mixail Bergorining so'zlariga ko'ra, yangi muammolar bugungi kunda agentlar oddiy vazifalarni bajaruvchi yordamchilar emas, balki foydalanuvchilar nomidan harakat qiluvchi - jildlar ochuvchi, fayllar jo'natuvchi va elektron pochtaga kiradigan raqamli shaxslar ekanligidan kelib chiqadi. U buni hakerlar uchun "mazza" deb ta'rifladi, chunki kirish uchun son-sanoqsiz imkoniyatlar mavjud.
Kompaniya hammuassisi va bosh direktori Ben Kaliger Zenity tadqiqoti hozirgi xavfsizlik yondashuvlari agentlarning haqiqiy faoliyat amaliyotlariga mos kelmasligini aniq ko'rsatayotganini ta'kidladi va tashkilotlar o'z yondashuvlarini o'zgartirishi hamda bu agentlar faoliyatini nazorat qilish va kuzatishga imkon beruvchi maxsus yechimlarni izlashi kerakligini aytdi.
Zenity 2021-yilda Ben Kaliger va Mixail Bergori tomonidan tashkil etilgan. Kompaniya hozirda butun dunyo bo'ylab taxminan 110 kishini ish bilan ta'minlaydi, ulardan 70 nafari kompaniyaning Tel-Aviv ofislarida ishlaydi.
