ClickCease 해커가 악용하는 ChatGPT 플러그인 보안 취약점

콘텐츠 표

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

해커가 악용하는 ChatGPT 플러그인 보안 취약점

와자핫 라자

2024년 3월 26일 TuxCare 전문가 팀

사이버 보안 영역에서는 위협 행위자들이 취약점을 악용할 새로운 방법을 끊임없이 모색하기 때문에 지속적인 경계가 무엇보다 중요합니다. 최근 연구에 따르면 우려스러운 추세, 즉 OpenAI와 관련된 타사 플러그인의 잠재적인 오용 가능성이 밝혀졌습니다. ChatGPT 플랫폼. 이러한 ChatGPT 플러그인 보안 취약점는 사용자 경험과 기능을 향상시키기 위한 것이지만, 의도치 않게 보안 허점의 온상이 되어 무단 액세스 및 데이터 유출의 길을 열어주고 있습니다.


ChatGPT 플러그인 보안 취약점 발견하기

 

보고서 에 따르면 사이버 보안 연구 회사인 Salt Labs는 ChatGPT 플러그인을 둘러싼 환경을 면밀히 조사하여 사용자와 조직 모두에게 심각한 위험을 초래하는 취약점을 발견했습니다. 이러한 ChatGPT 플러그인 보안 취약점 는 핵심 ChatGPT 프레임워크뿐만 아니라 광범위한 플러그인 생태계로 확장되어 악의적인 공격자가 시스템에 침투하여 민감한 데이터를 유출할 수 있는 기회를 열어줍니다.

솔트랩에서 주목할 만한 발견 중 하나는 사용자 인증 및 권한 부여에 사용되는 메커니즘인 OAuth 워크플로우의 결함에 관한 것입니다. 위협 행위자는 이 취약점을 악용하여 사용자를 속여 무의식적으로 악성 플러그인을 설치하도록 유도함으로써 다음과 같은 이점을 얻을 수 있습니다. 민감한 정보에 대한 무단 액세스. 이러한 ChatGPT 플러그인 보안 취약점 는 ChatGPT가 플러그인 설치의 적법성을 검증하지 않아 사용자가 악용에 취약해지기 때문에 매우 중요한 감독 사항입니다.

또 다른 우려스러운 폭로는 ChatGPT 생태계에 필수적인 플랫폼인 플러그인랩과 관련된 것입니다. 솔트랩은 플러그인랩에서 제로 클릭 계정 탈취 공격에 악용될 수 있는 취약점을 발견했습니다. 공격자는 인증 프로토콜을 우회하여 GitHub와 같은 플랫폼에서 조직 계정을 장악하고 소스 코드 저장소 및 기타 독점 자산을 손상시킬 수 있습니다.

 

ChatGPT 플러그인을 통한 무단 액세스 완화


이러한 익스플로잇 외에도 솔트랩은 Kesem AI를 비롯한 여러 플러그인에서 널리 퍼져 있는 OAuth 리디렉션 조작 버그를 발견했습니다. 이 취약점이 악용되면 플러그인 자격 증명 도용이 용이해져 공격자가 관련 계정에 대한 무단 액세스를 허용할 수 있습니다. 이러한 침해는 개별 사용자 계정을 손상시킬 뿐만 아니라 인프라 내에서 이러한 플러그인을 활용하는 조직에 더 광범위한 보안 위험을 초래할 수 있습니다.

이러한 연구 결과는 는 학계와 업계의 전문가들이 모여 새로운 위협을 파악하고 대처하는 사이버 보안 연구의 협력적 특성을 강조합니다. 솔트랩이 제공하는 인사이트는 악의적인 공격자로부터 디지털 생태계를 보호하기 위해 경계를 강화하고 선제적인 조치를 취해야 한다는 점을 명확히 보여줍니다.

 

사이드 채널 공격 해결

 

ChatGPT 생태계 내에서 확인된 취약점과 더불어 연구원들은 AI 비서를 노리는 뚜렷한 위협 벡터도 발견했습니다. 사이드 채널 공격으로 알려진 이 위협은 언어 모델의 고유한 특성을 악용하여 암호화된 채널을 통해 전송되는 민감한 정보를 추론합니다.

이 부채널 공격의 핵심은 AI 어시스턴트와 사용자 간에 주고받는 암호화된 응답을 해독하는 데 있습니다. 공격자는 네트워크를 통해 전송되는 토큰의 길이를 분석하여 암호화된 통신의 내용에 대한 통찰력을 얻고 기밀성을 침해할 수 있습니다.

 

토큰 길이 추론 활용


이 공격의 성공의 핵심은 네트워크 트래픽에서 토큰 길이를 유추하는 능력이며, 이 과정은 토큰 길이와 일반 텍스트 응답의 상관관계를 학습한 머신 러닝 모델을 통해 용이하게 이루어집니다. 공격자는 패킷 헤더와 순차적인 토큰 전송에 대한 세심한 분석을 통해 대화를 재구성하고 민감한 데이터를 추출할 수 있습니다.

 

사용자 지정 플러그인 보안 ChatGPT


타사 ChatGPT 플러그인 위험을 완화하려면
타사 ChatGPT 플러그인 위험 를 완화하려면 AI 어시스턴트 개발자는 강력한 보안 조치를 구현하는 것이 필수적입니다. 무작위 패딩 기술은 토큰 길이를 난독화하여 공격자의 추론 시도를 차단할 수 있습니다. 또한 토큰을 더 큰 그룹으로 전송하고 한 번에 완전한 응답을 제공하면 암호화 프로토콜을 더욱 강화하여 전반적인 보안 태세를 강화할 수 있습니다.

 

ChatGPT API 보안 고려 사항


조직이 사이버 보안의 복잡한 환경을 탐색할 때 보안, 사용성, 성능 간의 균형을 맞추는 것은 여전히 가장 중요한 관심사입니다. 연구원들이 제시한 권장 사항은 새로운 위협을 완화하는 동시에 원활한 사용자 경험을 보장하기 위한 사전 예방적 조치를 채택하는 것이 중요하다는 점을 강조합니다. 

여기에는 다음을 수행하는 것이 포함됩니다. 취약점에 대한 ChatGPT 침투 테스트 수행 를 수행하여 강력한 보안 조치가 마련되어 있는지 확인합니다. 또한, 안전한 워크플로우를 위한 안전한 워크플로우를 위한 최고의 ChatGPT 플러그인 를 사용하여 생산성을 향상하고 디지털 상호작용을 보호하세요.

 

결론


진화하는 사이버 위협에 맞서기 위해서는 경계와 협력이 필수적입니다. ChatGPT 생태계에서 발견된 취약점과 사이드 채널 공격의 위협은 방어자와 공격자 간의 끊임없는 군비 경쟁을 상기시켜 줍니다. 

구현 ChatGPT 플러그인에 대한 책임 있는 개발 에 대한 책임감 있는 개발을 구현하여 사용자 보안 및 데이터 무결성 표준을 유지하는 것은 필수적입니다. 사이버 보안 연구를 통해 얻은 인사이트에 귀를 기울이고 다음과 같은 OpenAI ChatGPT 플러그인 모범 사례 와 강력한 완화 전략을 구현함으로써 조직은 방어 체계를 강화하고 새로운 위협으로부터 보호 방어를 강화하고 새로운 위협으로부터 보호할 수 있습니다.

이 글의 출처에는 다음 기사가 포함됩니다. 해커 뉴스보안 주간.

 

요약
해커가 악용하는 ChatGPT 플러그인 보안 취약점
기사 이름
해커가 악용하는 ChatGPT 플러그인 보안 취약점
설명
위협 행위자가 ChatGPT 플러그인 보안 취약점을 악용하여 무단 액세스를 얻는 방법을 알아보세요. 최신 정보를 받아 보안을 유지하세요!
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기