ChatGPT串Google Drive竟成資安破口!駭客用「超簡單一招」扒光你的資料
記者鄧天心/綜合報導
你也習慣用ChatGPT處理雲端的文件嗎?駭客可能只需要分享一份文件給你,就有機會在完全不知情的狀況下,讓ChatGPT竊取Google Drive中的機敏資料。
延伸閱讀:Apple Pay遭Fintiv提告 指控蘋果盜用其行動錢包技術
資安研究人員近期發現駭客會在一份文件中,用幾乎看不見的白色、極小字體,藏好一段惡意指令,用了「間接提示注入」(indirect prompt injection),在你用OpenAI的「Connectors」授權ChatGPT存取Google Drive時,ChatGPT一併執行那段隱藏指令,例如命令它去搜尋您雲端硬碟中所有的API金鑰、密碼或其他敏感資訊,再將這些資料回傳到駭客的伺服器。
整個過程完全不需要額外點擊任何可疑連結,堪稱「零點擊」(zero-click)攻擊,讓用戶防不勝防。
資安專家強調,當AI助理被賦予越來越高的權限,能夠自由存取我們的雲端檔案時,任何一個環節的疏漏都可能造成連鎖反應,導致大規模的資料外洩,OpenAI在接獲通報後,已修補此漏洞,但也讓大家看到AI與雲端服務可能隱含的資安風險,不可不慎防。
