Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Vulnerabilità nei Plugin di ChatGPT: Una Minaccia alla Sicurezza Digitale

Sandro Sana : 16 Marzo 2024 22:22

Gli sviluppatori di plugin di terze parti per OpenAI ChatGPT dovranno fare attenzione, poiché ricercatori di sicurezza hanno scoperto che tali plugin potrebbero rappresentare una nuova superficie di attacco per i criminali informatici desiderosi di ottenere accesso non autorizzato a dati sensibili. Secondo una ricerca condotta dal team di Salt Labs, sono state individuate delle vulnerabilità sia direttamente in ChatGPT sia nell’ecosistema circostante, che potrebbero consentire agli attaccanti di installare plugin malevoli senza il consenso degli utenti e di prendere il controllo di account su siti web di terze parti come GitHub.

I plugin di ChatGPT sono strumenti progettati per funzionare su un grande modello di linguaggio (LLM) con lo scopo di accedere a informazioni aggiornate, eseguire calcoli o accedere a servizi di terze parti. Tuttavia, sfruttando determinate vulnerabilità, i criminali informatici potrebbero ingannare gli utenti e installare plugin arbitrari, permettendo loro di intercettare ed estrarre tutti i dati condivisi dalla vittima, che potrebbero includere informazioni proprietarie.

Salt Labs ha anche scoperto problemi con PluginLab che potrebbero essere sfruttati da attori minacciosi per condurre attacchi di takeover dell’account senza la necessità di cliccare, consentendo loro di ottenere il controllo dell’account di un’organizzazione su siti web di terze parti come GitHub e accedere ai repository del codice sorgente. Gli attaccanti possono ottenere un codice che rappresenta la vittima manipolando l’endpoint “auth.pluginlab[.]ai/members/requestMagicEmailCode”. Inoltre, sono stati individuati bug di manipolazione del reindirizzamento di OAuth in diversi plugin, tra cui Kesem AI, che potrebbero permettere a un attaccante di rubare le credenziali dell’account associato al plugin stesso.

Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)
    •
    Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    È importante notare che OpenAI ha preso provvedimenti per mitigare questi rischi. A partire dal 19 marzo 2024, gli utenti di ChatGPT non potranno più installare nuovi plugin o creare nuove conversazioni con plugin esistenti. Tuttavia, è fondamentale che gli utenti siano consapevoli di queste vulnerabilità e prendano le precauzioni necessarie per proteggere i propri dati. Inoltre, è consigliabile che gli sviluppatori di plugin di terze parti per ChatGPT adottino misure di sicurezza adeguate a evitare abusi o compromissioni dei loro plugin.

    Questa scoperta arriva in seguito all’identificazione di altre vulnerabilità nella sicurezza di ChatGPT, come descritte da Imperva, che hanno evidenziato due vulnerabilità cross-site scripting (XSS) che potrebbero essere sfruttate per assumere il controllo di qualsiasi account. È importante che gli sviluppatori di ChatGPT e le organizzazioni coinvolte continuino a lavorare per identificare e risolvere tali vulnerabilità, al fine di garantire la sicurezza degli utenti e dei loro dati.

    In conclusione, la scoperta di vulnerabilità nei plugin di terze parti di ChatGPT evidenzia l’importanza di affrontare attentamente la sicurezza nei sistemi di intelligenza artificiale. Gli sviluppatori e gli utenti devono essere consapevoli di tali rischi e prendere le misure necessarie per proteggere i propri dati e i propri account. La sicurezza deve essere una priorità in tutte le fasi dello sviluppo e dell’utilizzo di tali tecnologie, al fine di prevenire attacchi e compromissioni indesiderate.

    Sandro Sana
    Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA.

    Lista degli articoli
    Visita il sito web dell'autore

    Articoli in evidenza

    Attacco Hacker a 4chan! Dove è nato Anonymous, probabilmente chiuderà per sempre

    L’imageboard di 4chan è praticamente inattivo da lunedì sera (14 aprile), apparentemente a causa di un attacco hacker. I membri dell’imageboard Soyjak party (noto anche semplic...

    Zero-day su iPhone, Mac e iPad: Apple corre ai ripari con patch d’emergenza

    Apple ha rilasciato patch di emergenza per correggere due vulnerabilità zero-day. Secondo l’azienda, questi problemi sono stati sfruttati in attacchi mirati ed “estremamen...

    CVE e MITRE salvato dagli USA. L’Europa spettatrice inerme della propria Sicurezza Nazionale

    Quanto accaduto in questi giorni deve rappresentare un campanello d’allarme per l’Europa.Mentre il programma CVE — pilastro della sicurezza informatica globale — rischiava ...

    Spotify è Andato giù e DarkStorm Rivendica un attacco DDoS col botto!

    ​Il 16 aprile 2025, Spotify ha subito un’interruzione del servizio che ha colpito numerosi utenti in Italia e nel mondo. A partire dalle ore 14:00, migliaia di segnalazioni sono state re...

    20 Milioni di euro persi da IKEA per un attacco Ransomware

    Fourlis Group, il gestore dei negozi IKEA in Grecia, Cipro, Romania e Bulgaria, ha dichiarato di aver subito un attacco ransomware prima del Black Friday del 27 novembre 2024, che ha causato...

    Categorie
    Segui i corsi di ethical hacking di CyberSecurityUP
    Banner
    Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

    PRINCIPALI CATEGORIE
    Attacchi Informatici Italiani
    Dark Web & Cybercrime
    0day, bug e Vulnerabilità
    Hacking
    Cybersecurity Italia
    Cyberpolitica & Intelligence

    RISORSE
    Academy
    Rubriche
    Il manifesto di Red Hot Cyber
    Feed RSS
    Contatti

    Copyright @ REDHOTCYBER Srl
    PIVA 17898011006