【#ChatGPT连接器漏洞曝光#:无需用户交互,可“毒化文档”窃取敏感数据】8 月 7 日消息,《连线》昨日(8 月 6 日)发布博文,报道称安全研究人员在 OpenAI 的连接器(Connectors)中发现了新的漏洞,被攻击者利用,无需用户交互即可从 Google Drive 中提取数据。IT之家援引博文介绍,在拉斯维加斯的 Black Hat 黑客大会上,安全研究人员 Michael Bargury 和 Tamir Ishay Sharbat 揭示了 OpenAI 连接器的一个漏洞。
攻击者可以利用该漏洞,通过间接提示注入攻击,从 Google Drive 账户中提取敏感信息。在攻击演示中,Bargury 展示了如何从演示账户中提取开发者密钥。Bargury 表示整个过程并不需要用户交互:“我们展示了这是完全零点击的攻击;我们只需要你的电子邮件,与你共享文档,就完成了。这非常非常糟糕”。
攻击者可以利用该漏洞,通过间接提示注入攻击,从 Google Drive 账户中提取敏感信息。在攻击演示中,Bargury 展示了如何从演示账户中提取开发者密钥。Bargury 表示整个过程并不需要用户交互:“我们展示了这是完全零点击的攻击;我们只需要你的电子邮件,与你共享文档,就完成了。这非常非常糟糕”。
