رادار تكنولوژي

حفره امنیتی عجیب توی ChatGPT: بدون حتی یه کلیک، اطلاعاتت لو میره!

  • ۱ مهر ۱۴۰۴

اگه اهل تکنولوژی و هوش مصنوعی باشی، مطمئناً اسم ChatGPT به گوشت خورده. این ابزار و کلی مدل هوش مصنوعی دیگه دارن حسابی بین شرکت‌ها و کسب‌وکارها محبوب می‌شن، مخصوصاً برای تحقیق و تحلیل ایمیل‌ها، دیتای مشتری‌ها (CRM یعنی سیستمی که اطلاعات مشتری رو نگه می‌داره) و گزارشات داخلی که تصمیمات مهم بر اساسشون گرفته می‌شن.

اما خب، پیشرفت فناوری همیشه یه پای عقب هم داره؛ امنیت اطلاعات! یادت باشه، هر چی اطلاعات حساس‌تر با هوش مصنوعی کار کنه، خطر درز یا سرقت اطلاعات هم بیشتر میشه.

ماجرای ShadowLeak: هکری بدون حتی یه کلیک!

اخیراً کمپانی Radware یه آسیب‌پذیری خفن توی ChatGPT پیدا کرده به اسم ShadowLeak (شَدو لیک یعنی “نشتی مخفی” که خودش نشون می‌ده چقدر باحال می‌تونه پنهونی باشه). حالا جالبیش چیه؟ اصلاً نیازی نیست کاربر هیچ کاری بکنه! یعنی به اصطلاح یه حمله Zero-click اتفاق می‌افته. Zero-click یعنی چی؟ یعنی هیچ کلیکی، هیچ حرکتی از طرف کاربر نمی‌خواد؛ همه‌چی خود به خود توی سرورهای OpenAI انجام میشه بدون اینکه شما حتی خبردار بشی.

David Aviv، مدیر فنی Radware گفته: «شما هیچ شانس و شانسی واسه شناسایی این حمله ندارین. نه کار خاصی لازمه انجام بدی، نه نشونه‌ای از حمله هست و تازه حتی بعدش هم معلوم نیست چه بلایی سرت اومده! همه‌چی یواشکی پشت پرده توی کلود اتفاق می‌افته.»

ShadowLeak خیلی هوشمندانه عمل می‌کنه و اصلا به امنیت سیستم‌های کاربر کاری نداره. یعنی حتی بهترین آنتی‌ویروس‌ها و ابزارهای سنتی امنیتی نمی‌تونن جلوشو بگیرن.

حتی یه ایمیل با دستورات مخفی (که بهش می‌گیم «پنهان») می‌تونه کاری کنه Deep Research agent (همون بات تحقیق عمیق ChatGPT) اطلاعات رو خودش به راحتی لو بده! بدون اینکه آدم بفهمه چی شد. این یعنی یه آسیب‌پذیری خالص سمت سرور که هیچ نشونه‌ای هم نمی‌ذاره.

Pascal Geenens از Radware می‌گه: «شرکت‌هایی که دارن از هوش مصنوعی استفاده می‌کنن، اصلاً نباید فقط به ابزارهای داخلی همون AI اعتماد کنن؛ چون این سیستم‌ها می‌تونن به شکل‌هایی که حتی فکرش رو نمی‌کنیم مورد سواستفاده قرار بگیرن و راه‌های نفوذی باشن که حتی سیستم‌های امنیتی قدیمی هم متوجهش نشن.»

فکر کن ChatGPT بیش از ۵ میلیون کاربر شرکتی پولی داره. پس اگه این خلأ امنیتی درست بررسی نشه، کلی اطلاعات حساس کسب‌وکارها در خطره.

چطوری جلوی ShadowLeak و حملات مشابه رو بگیریم؟

بیا بدون تعارف چندتا راهکار ساده اما مهم رو مرور کنیم:

  • سعی کن چند لایه دفاع سایبری داشته باشی، نه فقط یه آنتی‌ویروس مسخره! چون حمله‌ها همیشه یه‌جوری میان که فکرش رو نمی‌کنی.
  • همیشه فعالیت‌های مربوط به هوش مصنوعی رو مانیتور کن تا اگه چیزی مشکوک دیدی (مثلاً نشتی اطلاعات یا رفتار غیرمعمول)، سریع متوجه بشی.
  • آنتی‌ویروس درست حسابی نصب کن. حملات قدیمی هنوز هم رایجن!
  • سیستم محافظت در برابر باج‌افزار (Ransomware) رو فعال نگه دار. باج افزار یعنی همون ویروس‌هایی که فایل‌هاتو قفل می‌کنن تا پول ازت بگیرن.
  • دسترسی‌ها رو محدود و کنترل‌شده بذار؛ هر کسی نباید به همه چی دسترسی داشته باشه، مخصوصاً موقع کار با داده‌های حساس.
  • نذار ربات‌های هوشمند هر جایی بچرخن! حتماً نظارت انسانی لازم رو برقرار کن.
  • لاگ بگیر و کارهای agentها رو ثبت کن، تا اگه یه کاری خارج روال شد، متوجه بشی.
  • اگه بشه از ابزارهای AI دیگه برای تشخیص رفتار غیرعادی و اعلان خودکار استفاده کنی، خیالت راحت‌تره.
  • به بقیه هم آموزش بده که خطرات این کارا چیه؛ مخصوصاً موقع استفاده از ربات‌ها و هوش مصنوعی که خودشون کار رو پیش می‌برن.
  • همه ابزار و نرم‌افزارها رو با روش‌های درست مدیریتی و پایش مداوم ترکیب کن؛ فقط ابزار کافی نیست، هوشیاری تیم هم لازمه.

جمع‌بندی خودمونی:

هوش مصنوعی زندگی رو راحت‌تر کرده، ولی اگه بی‌گدار به آب بزنی، ممکنه کل داده‌هات ظرف چند ثانیه بره دست هکرها بدون اینکه حتی بفهمی! پس کنترل دسترسی، نظارت دائمی و استفاده از چند لایه امنیتی از واجباته. ولخرجی واسه ابزارهای امنیتی بهتر از از دست دادن اطلاعات مهمه!

اگه به امنیت علاقه داری، بد نیست همین الان سری به سرویس‌های فایروال (firewall یعنی دیوار آتش که جلوی ورود هکرها رو می‌گیره) و وی‌پی‌ان‌های امن بزنی. تازه خبر جالب دیگه هم اینکه مایکروسافت داره قوی‌ترین دیتاسنتر جهان رو به لطف سرمایه‌گذاری در AI راه‌اندازی می‌کنه! خلاصه بریم جلو، اما با هوش و احتیاط 😉

منبع: +