EmailGPT: ИИ-шпион в вашем почтовом ящике

10.06.2024

Исследователи рекомендуют немедленно удалить популярное браузерное расширение.

Специалисты из Cybersecurity Research Center (CyRC) компании Synopsys обнаружили zero-day уязвимость в EmailGPT, популярном расширении для Google Chrome, использующем искусственный интеллект для написания электронных писем.

Уязвимость типа «Prompt Injection» с идентификатором CVE-2024-5184 позволяет злоумышленникам манипулировать сервисом и получать доступ к конфиденциальной информации.

EmailGPT использует общедоступные ИИ-модели от OpenAI для помощи пользователям в составлении писем в сервисе Gmail — это бесплатная почтовая служба, предоставляемая компанией Google. Она позволяет пользователям создавать и управлять своими электронными письмами. Gmail предлагает множество функций, включая большой объем хранилища, удобный интерфейс, организацию писем в различные папки и эффективную систему фильтрации спама. Также в Gmail доступны календарь, задачи, контакты и многое другое." data-html="true" data-original-title="Gmail" >Gmail. Пользователи получают ИИ-подсказки для написания писем, предоставляя сервису исходные данные и контекст. Однако недавнее открытие выявило серьёзный изъян в работе расширения.

EmailGPT использует API-сервис, который позволяет злоумышленникам внедрять сторонние промпты и управлять логикой сервиса. Это может привести к утечке системных подсказок или выполнению нежелательных команд.

Так, злоумышленник может создать промпт, который встраивает нежелательную функциональность, что может привести к:

Эта уязвимость, оцененная в 6.5 балла по шкале CVSS, может также привести к утечке интеллектуальной собственности, отказу в обслуживании и финансовым потерям.

Synopsys сообщает, что их исследователи связались с разработчиками EmailGPT до публикации деталей, но ответа не получили. Synopsys рекомендует немедленно удалить EmailGPT из своего браузера, ведь каких-либо путей для смягчения последствий уязвимости пока нет.

Пользователям рекомендуется следить за обновлениями и патчами для обеспечения безопасности. По мере развития ИИ-технологий важность бдительности и надёжных мер безопасности возрастает.

Патрик Харр, CEO компании SlashNext Email Security, отметил важность строгого управления и внедрения дополнительных мер безопасности для ИИ-моделей, чтобы предотвратить появление уязвимостей и их последующую эксплуатацию.

Харр также добавил, что компании, планирующие интеграцию ИИ в свои бизнес-процессы, должны требовать от поставщиков ИИ-моделей реальных доказательств их безопасности.

Добавить комментарий

Your email address will not be published.

Предыдущая история

Сжатие гелиосферы: как космическое событие изменило жизнь на Земле

Next Story

Вышло в свет новое издание Красной книги Туркменистана

Последние из Наука и образование

Рейтинг мировых университетов THE 2025: Оксфорд удерживает первое место, проверьте топ-10 и их общий балл

09.11.2024
Оксфордский университет, Массачусетский технологический институт (MIT) и Гарвардский университет заняли первые три места в рейтинге мировых университетов THE 2025. Times Higher Education (THE) поставил

Первоклассники Туркменистана получат в подарок от Президента усовершенствованные модели ноутбуков

30.08.2024
В новом 2024-2025 учебном году более 155 тысяч первоклассников Туркменистана получат в подарок от имени Президента Сердара Бердымухамедова усовершенствованные модели портативных компьютеров. Среди новшеств

Учебная поездка в Малайзию

30.08.2024
В канун нового, 2024-2025 учебного года вузовская делегация в составе преподавателей и студентов Международного университета нефти и газа имени Ягшыгелди Какаева, а также его

«Цифроземье 2024»: ИТ-форум, где будущее уже здесь

20.08.2024
В начале осени Воронеж станет эпицентром цифровых инноваций. 5 сентября в Сити-парке «Град» пройдет ИТ-форум «Цифроземье 2024», который объединит специалистов, предпринимателей, экспертов и всех,
Перейти кTop