近期,安全研究界传来新消息,两位安全专家在Black Hat黑客大会上公开了一项关于OpenAI旗下连接器(Connectors)的重大安全发现。据外媒详细报道,这一漏洞允许攻击者在不需用户任何操作的情况下,从Google Drive账户中窃取敏感信息。
在大会现场,Michael Bargury与Tamir Ishay Sharbat详细阐述了他们的研究成果。他们指出,利用这一漏洞实施的攻击方式极为隐蔽,属于“零点击”攻击范畴。攻击者仅需获取目标用户的电子邮件地址,并通过共享文档的方式,即可在不被察觉的情况下执行数据提取操作。不过,尽管攻击手段隐蔽,但每次攻击所能提取的数据量有限,无法直接获取完整文档。
Connectors是OpenAI今年早些时候为ChatGPT推出的一项测试功能,旨在让用户能够“将工具和数据带入ChatGPT”,实现“在聊天中搜索文件、拉取实时数据、引用内容”等便捷操作。目前,该功能已支持至少17种服务的关联。
值得注意的是,Bargury透露,他早在今年年初就已将这一安全漏洞报告给了OpenAI。OpenAI对此高度重视,并迅速采取了相应的缓解措施,以防止攻击者通过该连接器进一步提取数据。
尽管OpenAI已采取行动,但截至目前,尚未就该漏洞及其可能带来的风险作出公开回应。这一事件再次引发了业界对人工智能产品安全性的广泛讨论,强调了企业在推出新功能时,必须加强对安全漏洞的防范和应对。
