Salt Security, la società leader nel settore della sicurezza API, ha pubblicato una nuova ricerca condotta da Salt Labs che mette in luce difetti critici di sicurezza all’interno dei plugin ChatGPT, evidenziando un nuovo rischio per le aziende. Secondo la ricerca, i plugin forniscono chatbot AI come accesso ChatGPT e autorizzazioni per eseguire attività per conto degli utenti all’interno di siti Web di terze parti, introducendo un nuovo vettore di attacco.
Le vulnerabilità scoperte dai ricercatori di Salt Labs potrebbero consentire ai malintenzionati di ottenere il controllo dell’account di un’organizzazione su siti Web di terzi e l’accesso a informazioni sensibili degli utenti, come le informazioni di identificazione personale (PII), archiviate in applicazioni di terze parti.
I plugin ChatGPT estendono le capacità del modello, permettendo al chatbot di interagire con servizi esterni, migliorando così l’applicabilità di ChatGPT in vari domini. Tuttavia, l’uso di tali plugin comporta rischi per la sicurezza. Ad esempio, l’introduzione di una nuova funzionalità chiamata GPT, simile ai plugin, presenta rischi simili.
Il team di Salt Labs ha scoperto tre diversi tipi di vulnerabilità all’interno dei plugin ChatGPT. Questi includono difetti legati all’installazione dei plugin, alla sicurezza dell’account utente su PluginLab (pluginlab.ai) e al reindirizzamento OAuth (Open Authorization).
Dopo la scoperta delle vulnerabilità, i ricercatori di Salt Labs hanno seguito pratiche di divulgazione coordinate con OpenAI e fornitori di terze parti e tutti i problemi sono stati risolti rapidamente.
Yaniv Balmas, Vicepresidente della ricerca presso Salt Security, ha sottolineato l’importanza di proteggere i plugin all’interno di tecnologie come ChatGPT per prevenire accessi non autorizzati ai dati sensibili e violazioni degli account.
Secondo il Salt Security State of API Security Report, primo trimestre del 2023, si è registrato un aumento significativo degli aggressori che hanno preso di mira i clienti Salt. La piattaforma di protezione API Salt Security aiuta le aziende a identificare rischi e vulnerabilità nelle API prima che vengano sfruttate dagli aggressori, fornendo approfondimenti basati sul contesto durante l’intero ciclo di vita dell’API.