JAUNSTagad varat klausīties Fox Information rakstus!
Jauns kiberdrošības brīdinājums atklāj, kā hakeri uz īsu brīdi iznīcināja ChatGPT Deep Analysis rīku. Uzbrukums, ko sauca par ShadowLeak, ļāva viņiem nozagt Gmail datus, izmantojot vienu neredzamu uzvedni: bez klikšķiem, bez lejupielādes un lietotāja darbības.
Radware pētnieki nulles klikšķu ievainojamību atklāja 2025. gada jūnijā. OpenAI to izlaboja augusta sākumā pēc tam, kad tika saņemts paziņojums, taču eksperti brīdina, ka līdzīgi trūkumi varētu atkal parādīties, jo mākslīgā intelekta (AI) integrācijas paplašinās tādās populārās platformās kā Gmail, Dropbox un SharePoint.
Reģistrējieties manam BEZMAKSAS CyberGuy ziņojumam
Saņemiet manus labākos tehniskos padomus, steidzamus drošības brīdinājumus un ekskluzīvus piedāvājumus, kas tiek piegādāti tieši jūsu iesūtnē. Turklāt jūs iegūsit tūlītēju piekļuvi manam Final Rip-off Survival Information — bez maksas, pievienojoties manam CYBERGUY.COM/NEWSLETTER
HAKERIS IZMANTO AI ČATBOT KIBERNOZIEDZĪBU SPREĪ
Gmail dati noplūda nulles klikšķu uzbrukumā, kas neprasa lietotāja darbības. (Kurts “CyberGuy” Knutsson)
Kā darbojās ShadowLeak uzbrukums
Uzbrucēji e-pastā ieguluši slēptās instrukcijas, izmantojot baltu uz balta tekstu, sīkus fontus vai CSS izkārtojuma trikus. E-pasts izskatījās pilnīgi nekaitīgs. Wager, kad lietotājs vēlāk lūdza ChatGPT Deep Analysis aģentam analizēt viņu Gmail iesūtni, AI neapzināti izpildīja uzbrucēja komandas.
Pēc tam aģents izmantoja savus iebūvētos pārlūkprogrammas rīkus, lai izfiltrētu sensitīvus datus uz ārēju serveri, un tas viss tika veikts paša OpenAI mākoņa vidē, kas ir ārpus pretvīrusu vai uzņēmuma ugunsmūru sasniedzamības.
Atšķirībā no iepriekšējiem tūlītējas ievadīšanas uzbrukumiem, kas tika veikti lietotāja ierīcē, ShadowLeak pilnībā izvērsās mākonī, padarot to neredzamu vietējai aizsardzībai.
GOOGLE APSTIPRINA DATU, KAS ZAGTI DATU PĀRKĀPJUMĀ, IZMANTOJOTĀS HAKERU GRUPAS
Slēptās uzvednes atklāj, kā hakeri klusībā nolaupīja ChatGPT AI aģentu. (Kurts “CyberGuy” Knutsson)
Kāpēc šiem draudiem ir nozīme
Deep Analysis aģents tika izstrādāts, lai veiktu daudzpakāpju izpēti un apkopotu tiešsaistes datus, taču tā plašā piekļuve trešo pušu lietotnēm, piemēram, Gmail, Google disks un Dropbox, arī pavēra iespējas ļaunprātīgai izmantošanai.
Radware pētnieki teica, ka uzbrukums ietvēra personas datu kodēšanu sistēmā Base64 un pievienošanu ļaunprātīgam vietrādim URL, kas tika maskēts kā “drošības pasākums”. Pēc nosūtīšanas aģents uzskatīja, ka tas rīkojas normāli.
Reālās briesmas slēpjas faktā, ka jebkurš savienotājs var tikt izmantots tāpat, ja uzbrucējiem izdodas paslēpt uzvednes analizētajā saturā.
Ko saka drošības eksperti
“Lietotājs nekad neredz uzvedni. E-pasts izskatās normāli, wager aģents bez šaubām izpilda slēptās komandas,” skaidroja pētnieki.
Atsevišķā eksperimentā drošības firma SPLX parādīja vēl vienu vājumu: ChatGPT aģentus varēja pievilt, lai atrisinātu CAPTCHA, mantojot manipulētu sarunu vēsturi. Pētnieks Dorians Šulcs atzīmēja, ka modelis pat atdarināja cilvēka kursora kustības, apejot testus, kas paredzēti robotu bloķēšanai.
Šie incidenti parāda, kā konteksta saindēšanās un tūlītējas manipulācijas var klusi pārkāpt AI aizsardzības pasākumus.
GOOGLE AI E-PASTA KOPSAVILKUMU VAR UZTRAUKT, LAI SLĒPTU PIKŠĶĒŠANAS UZKURUMUS
Eksperti brīdina, ka turpmākās AI integrācijas var saskarties ar tādiem pašiem slēptiem draudiem. (Kurts “CyberGuy” Knutsson)
Kā pasargāt sevi no ShadowLeak stila uzbrukumiem
Lai gan OpenAI ir izlabojis ShadowLeak trūkumu, ir saprātīgi palikt proaktīvam. Kibernoziedznieki vienmēr meklē jaunus veidus, kā izmantot AI aģentus un integrācijas, tāpēc šo piesardzības pasākumu veikšana tagad var palīdzēt nodrošināt jūsu kontu un personas datu drošību.
1) Izslēdziet neizmantotās integrācijas
Katrs savienojums ir potenciāls ieejas punkts. Atspējojiet visas integrācijas, kuras aktīvi neizmantojat, piemēram, Gmail, Google disks vai Dropbox. Mazāk saistīto lietotņu nozīmē mazāk veidu, kā slēptām uzvednēm vai ļaunprātīgiem skriptiem piekļūt jūsu informācijai.
2) Izmantojiet personas datu noņemšanas pakalpojumu
Ierobežojiet to, cik daudz jūsu personas datu plūst tīmeklī. Datu noņemšanas pakalpojumi var automātiski noņemt jūsu privāto informāciju no cilvēku meklēšanas vietnēm un datu brokeru datubāzēm, samazinot to, ko uzbrucēji var atrast un izmantot pret jums. Lai gan neviens pakalpojums nevar garantēt pilnīgu jūsu datu noņemšanu no interneta, datu noņemšanas pakalpojums patiešām ir gudra izvēle. Tie nav lēti, un tas nav arī jūsu privātums. Šie pakalpojumi veic visu darbu jūsu vietā, aktīvi uzraugot un sistemātiski dzēšot jūsu personisko informāciju no simtiem vietņu. Tas man sniedz sirdsmieru, un ir izrādījies visefektīvākais veids, kā dzēst savus personas datus no interneta. Ierobežojot pieejamo informāciju, tiek samazināts dangers, ka krāpnieki varētu savstarpēji atsaukties uz datiem par pārkāpumiem ar informāciju, ko viņi varētu atrast tumšajā tīmeklī, tādējādi apgrūtinot viņu mērķauditorijas atlasi.
Apskatiet manus populārākos datu noņemšanas pakalpojumus un saņemiet bezmaksas skenēšanu, lai noskaidrotu, vai jūsu personiskā informācija jau ir pieejama tīmeklī, apmeklējot Cyberguy.com.
Saņemiet bezmaksas skenēšanu, lai noskaidrotu, vai jūsu personiskā informācija jau ir pieejama tīmeklī: Cyberguy.com.
3) Izvairieties analizēt nezināmu saturu
Izturieties piesardzīgi pret katru e-pastu, pielikumu vai dokumentu. Nelūdziet AI rīkiem analizēt saturu no nepārbaudītiem vai aizdomīgiem avotiem. Slēpts teksts, neredzams kods vai izkārtojuma triki var izraisīt klusas darbības, kas atklāj jūsu privātos datus.
4) Pievērsiet uzmanību drošības atjauninājumiem
Esiet modrs par atjauninājumiem no OpenAI, Google, Microsoft un citām platformām. Drošības ielāpi aizver jaunatklātās ievainojamības, pirms hakeri var tās izmantot. Ieslēdziet automātiskos atjauninājumus, lai jūs vienmēr būtu aizsargāts, nedomājot par to.
5) Izmantojiet spēcīgu pretvīrusu programmatūru
Spēcīga pretvīrusu programma papildina vēl vienu aizsardzības sienu. Šie rīki atklāj pikšķerēšanas saites, slēptos skriptus un mākslīgā intelekta vadītus ekspluatācijas veidus, pirms tie nodara kaitējumu. Ieplānojiet regulāras skenēšanas un atjauniniet savu aizsardzību.
Labākais veids, kā pasargāt sevi no ļaunprātīgām saitēm, kas instalē ļaunprātīgu programmatūru un, iespējams, piekļūst jūsu privātajai informācijai, ir visās jūsu ierīcēs instalēt spēcīgu pretvīrusu programmatūru. Šī aizsardzība var arī brīdināt jūs par pikšķerēšanas e-pastiem un izspiedējvīrusu krāpniecību, tādējādi aizsargājot jūsu personisko informāciju un digitālos līdzekļus.
Iegūstiet manus ieteikumus par labākajiem 2025. gada pretvīrusu aizsardzības uzvarētājiem jūsu Home windows, Mac, Android un iOS ierīcēm vietnē Cyberguy.com.
6) Izmantojiet slāņu aizsardzību
Padomājiet par savu drošību kā par sīpolu; vairāk slāņu padara to grūtāk pārraujamu. Pilnībā atjauniniet savu pārlūkprogrammu, operētājsistēmu un galapunkta drošības programmatūru. Pievienojiet reāllaika draudu noteikšanu un e-pasta filtrēšanu, lai bloķētu ļaunprātīgu saturu, pirms tas nonāk jūsu iesūtnē.
Kurta galvenās lietas
AI attīstās ātrāk, nekā vairums drošības sistēmu spēj sekot līdzi. Pat tad, kad uzņēmumi ātri lāgo ievainojamības, gudri uzbrucēji atrod jaunus veidus, kā izmantot integrācijas un konteksta atmiņu. Jūsu labākā aizsardzība ir būt modram un ierobežot AI aģentu piekļuvi.
Vai jūs joprojām uzticētu AI palīgam piekļuvi jūsu personīgajam e-pastam, uzzinot, cik viegli to var apmānīt? Paziņojiet mums, rakstot mums uz Cyberguy.com..
Reģistrējieties manam BEZMAKSAS CyberGuy ziņojumam
Saņemiet manus labākos tehniskos padomus, steidzamus drošības brīdinājumus un ekskluzīvus piedāvājumus, kas tiek piegādāti tieši jūsu iesūtnē. Turklāt jūs iegūsit tūlītēju piekļuvi manam Final Rip-off Survival Information — bez maksas, pievienojoties manam CYBERGUY.COM informatīvais izdevums.
Autortiesības 2025 CyberGuy.com. Visas tiesības paturētas.
