详细内容或原文请订阅后点击阅览
EmailGPT:收件箱中的 AI 间谍
埃德沃瓦特利 (Edward Wartley) 建议不要进行大规模杀伤性武器测试。
来源:安全实验室新闻频道研究人员建议立即删除流行的浏览器扩展。
Synopsys 网络安全研究中心 (CyRC) 的专家在 EmailGPT 中发现了一个零日漏洞,EmailGPT 是 Google Chrome 的流行扩展,使用人工智能来编写电子邮件。
Synopsys 已找到 电子邮件GPT,ID 为 CVE-2024-5184 的提示注入漏洞允许攻击者操纵服务并获取机密信息的访问权限。
“即时注入” CVE-2024-5184EmailGPT 使用 OpenAI 中公开的 AI 模型来帮助用户在 Gmail 中撰写电子邮件。用户收到人工智能写信建议,为服务提供背景数据和上下文。然而,最近的一项发现揭示了扩展运行中的严重缺陷。
GmailEmailGPT 使用 API 服务,允许攻击者注入第三方提示并控制服务的逻辑。这可能会导致系统提示被泄露或执行不需要的命令。
因此,攻击者可以创建嵌入不需要的功能的提示,这可能导致:
- 获取数据; 使用被黑帐户进行垃圾邮件活动; 为邮件创建误导性内容;
此漏洞的 CVSS 等级为 6.5,还可能导致知识产权泄露、拒绝服务和财务损失。
Synopsys 报告称,其研究人员在发布详细信息之前联系了 EmailGPT 开发人员,但没有收到回复。 Synopsys 建议您立即从浏览器中删除 EmailGPT,因为目前没有办法减轻该漏洞的影响。
Harr 还补充说,计划将人工智能集成到其业务流程中的公司应该要求人工智能模型提供商提供其安全性的真实证明。