Pirmdien Microsoft Detection and Response Workforce (DART) pētnieki brīdināja, ka OpenAI API tiek ļaunprātīgi izmantota kā ļaunprātīgas programmatūras aizmugures durvis. Pētnieki secināja, ka slikti aktieri izmantoja jaunās aizmugures durvis, lai veiktu ilgstošas spiegošanas operācijas.
Konkrētāk, Microsoft kiberdrošības pētnieki atklāja, ka kibernoziedznieki izmanto OpenAI Assistants API, kas ir gudrs veids, kā slēpt savas nelikumīgās darbības. Pīkstošs dators.
“Tā vietā, lai paļautos uz tradicionālākām metodēm, draudu aktieris, kas atrodas aiz šīs aizmugures durvīm, ļaunprātīgi izmanto OpenAI kā [command-and-control] kanālu kā veidu, kā slepeni sazināties un organizēt ļaunprātīgas darbības apdraudētā vidē. Lai to izdarītu, aizmugures durvju komponents izmanto OpenAI Assistants API kā krātuves vai pārraides mehānismu, lai iegūtu komandas, kuras pēc tam palaiž ļaunprogramma. rakstīja Microsoft incidentu atbildē publicēts 3. novembrī.
Lasiet tālāk, lai uzzinātu, kā darbojās ļaunprātīga izmantošana un kā pret to aizsargāties.
Cik slikti aktieri izmantoja OpenAI Assistants API
Jūlijā pētnieki atklāja jaunas aizmugures durvis OpenAI palīgu API ietvaros, izmeklējot “sarežģītu drošības incidentu”. Viņi nosauca aizmugures durvis SesameOp. (Kiberdrošības pētnieki bieži piešķir jaunus ļaunprātīgas programmatūras vai kiberdrošības izmantošanas veidu nosaukumus.)
Mashable gaismas ātrums
The Asistentu API ir izstrādātāja rīks, kas ļauj OpenAI uzņēmuma klientiem izveidot AI palīgus savās lietotnēs. Būtībā tas nodrošina OpenAI rīkus, piemēram, ChatGPT un Code Interpreter, citās trešo pušu lietotnēs. Jāņem vērā arī tas, ka šo sistēmu ir paredzēts aizstāt ar OpenAI Responses API.
DART pētnieki atklāja, ka slēptās aizmugures durvis ļāva apdraudējuma dalībniekiem neatklāti pārvaldīt apdraudētas ierīces, izmantojot Assistant API, lai novērstu ļaunprātīgas komandas un šifrētus datus. Lai gan reakcija uz incidentu ir īsa, aizmugures durvis ļāva sliktajiem dalībniekiem iegūt datus “spiegošanas veida nolūkos”. Izmantojot OpenAI API, kibernoziedznieki varēja maskēt savas darbības.
“Šis drauds nav ievainojamība vai nepareiza konfigurācija, wager gan veids, kā ļaunprātīgi izmantot OpenAI Assistants API iebūvētās iespējas,” secināja pētnieki.
Kā nodrošināties pret SesameOp aizmugures durvīm
Līdztekus padziļinātai draudu tehniskajai analīzei Microsoft pētnieki sniedza ieteikumu sarakstu, lai mazinātu izmantošanas ietekmi.
Pilnu ieteikumu sarakstu varat izlasīt sadaļā Microsoft reaģēšana uz incidentiem. Daži ieteikumi ietver “bieži pārbaudiet un pārskatiet ugunsmūrus un tīmekļa servera žurnālus” un “Pārskatiet un konfigurējiet perimetra ugunsmūra un starpniekservera iestatījumus, lai ierobežotu nesankcionētu piekļuvi pakalpojumiem, tostarp savienojumiem, izmantojot nestandarta portus”.
Tā kā OpenAI palīgu API darbība tiks pārtraukta nākamajā gadā, izstrādātāji, iespējams, vēlēsies arī migrēt uz Responses API, kas to aizstāj. OpenAI ir a migrācijas rokasgrāmata savā tīmekļa vietnē.
Informācijas atklāšana: Ziff Davis, Mashable mātesuzņēmums, aprīlī iesniedza prasību pret OpenAI, apgalvojot, ka tas pārkāpis Ziff Davis autortiesības apmācībā un AI sistēmu darbībā.
Tēmas
Kiberdrošība OpenAI
