近期,安全研究界傳來新消息,兩位安全專家在Black Hat黑客大會上公開了一項關于OpenAI旗下連接器(Connectors)的重大安全發現。據外媒詳細報道,這一漏洞允許攻擊者在不需用戶任何操作的情況下,從Google Drive賬戶中竊取敏感信息。
在大會現場,Michael Bargury與Tamir Ishay Sharbat詳細闡述了他們的研究成果。他們指出,利用這一漏洞實施的攻擊方式極為隱蔽,屬于“零點擊”攻擊范疇。攻擊者僅需獲取目標用戶的電子郵件地址,并通過共享文檔的方式,即可在不被察覺的情況下執行數據提取操作。不過,盡管攻擊手段隱蔽,但每次攻擊所能提取的數據量有限,無法直接獲取完整文檔。
Connectors是OpenAI今年早些時候為ChatGPT推出的一項測試功能,旨在讓用戶能夠“將工具和數據帶入ChatGPT”,實現“在聊天中搜索文件、拉取實時數據、引用內容”等便捷操作。目前,該功能已支持至少17種服務的關聯。
值得注意的是,Bargury透露,他早在今年年初就已將這一安全漏洞報告給了OpenAI。OpenAI對此高度重視,并迅速采取了相應的緩解措施,以防止攻擊者通過該連接器進一步提取數據。
盡管OpenAI已采取行動,但截至目前,尚未就該漏洞及其可能帶來的風險作出公開回應。這一事件再次引發了業界對人工智能產品安全性的廣泛討論,強調了企業在推出新功能時,必須加強對安全漏洞的防范和應對。
