चैटजीपीटी और एआई सहायकों की एक श्रृंखला पर गंभीर भेद्यता: उपयोगकर्ताओं को घोटाला किया जाता है, जानकारी लीक की जाती है...

इस भेद्यता से, हैकर्स चैटजीपीटी के माध्यम से उपयोगकर्ताओं को वायरस युक्त सॉफ्टवेयर डाउनलोड करने का सुझाव दे सकते हैं, गलत व्यावसायिक सलाह दे सकते हैं, यहां तक कि गूगल ड्राइव पर फाइलों तक पहुंच भी बना सकते हैं...

Báo Tuổi Trẻ•11/08/2025

ChatGPT - Ảnh 1. — 'जीरो क्लिक' भेद्यता हैकर्स को चैटजीपीटी को नियंत्रित करने की अनुमति देती है ताकि वे अपनी इच्छानुसार कार्य कर सकें - चित्रण फोटो: एएफपी

इज़राइली साइबर सुरक्षा फर्म जेनिटी ने ओपनएआई की चैटजीपीटी सेवा में खोजी गई पहली "जीरो क्लिक" भेद्यता का खुलासा किया है।

इस प्रकार के हमले में उपयोगकर्ताओं को किसी लिंक पर क्लिक करने, फ़ाइल खोलने या किसी भी जानबूझकर बातचीत में शामिल होने जैसी कोई कार्रवाई करने की आवश्यकता नहीं होती है, लेकिन फिर भी खातों तक पहुंच प्राप्त की जा सकती है और संवेदनशील डेटा लीक किया जा सकता है।

जेनिटी के सह-संस्थापक और सीटीओ मिखाइल बर्गोरी ने प्रत्यक्ष रूप से प्रदर्शित किया कि कैसे एक हैकर केवल उपयोगकर्ता के ईमेल पते से बातचीत पर पूर्ण नियंत्रण कर सकता है - जिसमें अतीत और भविष्य की सामग्री भी शामिल है, बातचीत का उद्देश्य बदल सकता है, और यहां तक कि हैकर के पक्ष में कार्य करने के लिए चैटजीपीटी में हेरफेर भी कर सकता है।

अपनी प्रस्तुति में, शोधकर्ताओं ने दिखाया कि एक हैक किए गए ChatGPT को एक "दुर्भावनापूर्ण अभिनेता" में बदला जा सकता है जो उपयोगकर्ताओं के खिलाफ गुप्त रूप से काम करता है। हैकर ChatGPT के ज़रिए उपयोगकर्ताओं को वायरस-संक्रमित सॉफ़्टवेयर डाउनलोड करने का सुझाव दे सकते हैं, भ्रामक व्यावसायिक सलाह दे सकते हैं, या यदि उपयोगकर्ता का खाता जुड़ा हुआ है, तो Google ड्राइव पर संग्रहीत फ़ाइलों तक पहुँच प्राप्त कर सकते हैं। यह सब उपयोगकर्ता की जानकारी के बिना होता है।

ज़ेनिटी द्वारा ओपनएआई को सूचित करने के बाद ही इस कमजोरी को पूरी तरह से ठीक किया जा सका।

चैटजीपीटी के अलावा, ज़ेनिटी ने अन्य लोकप्रिय एआई सहायक प्लेटफ़ॉर्म पर भी इसी तरह के हमलों का प्रदर्शन किया है। माइक्रोसॉफ्ट के कोपायलट स्टूडियो में, शोधकर्ताओं ने संपूर्ण सीआरएम डेटाबेस को लीक करने का एक तरीका खोजा है।

सेल्सफोर्स आइंस्टीन के लिए, हैकर्स सभी ग्राहक संचारों को अपने नियंत्रण वाले ईमेल पतों पर पुनर्निर्देशित करने के लिए नकली सेवा अनुरोध बना सकते हैं।

गूगल जेमिनी और माइक्रोसॉफ्ट 365 कोपायलट को भी "शत्रुतापूर्ण अभिनेता" में बदल दिया गया, जो फ़िशिंग हमले कर रहे थे और ईमेल और कैलेंडर ईवेंट के माध्यम से संवेदनशील जानकारी लीक कर रहे थे।

एक अन्य उदाहरण में, सॉफ्टवेयर डेवलपमेंट टूल कर्सर को जब जीरा एमसीपी के साथ एकीकृत किया गया तो इसका उपयोग नकली "टिकट" के माध्यम से डेवलपर क्रेडेंशियल्स चुराने के लिए किया गया।

ज़ेनिटी ने कहा कि ओपनएआई और माइक्रोसॉफ्ट जैसी कुछ कंपनियों ने अलर्ट मिलने के तुरंत बाद पैच जारी कर दिए। हालाँकि, कुछ अन्य कंपनियों ने इस समस्या का समाधान करने से इनकार कर दिया, यह तर्क देते हुए कि यह व्यवहार सुरक्षा भेद्यता के बजाय एक "डिज़ाइन विशेषता" थी।

मिखाइल बर्गोरी के अनुसार, अब सबसे बड़ी चुनौती यह है कि एआई सहायक केवल साधारण कार्य ही नहीं कर रहे हैं, बल्कि उपयोगकर्ताओं का प्रतिनिधित्व करने वाली "डिजिटल संस्थाएँ" बन रहे हैं - फ़ोल्डर खोलने, फ़ाइलें भेजने और ईमेल एक्सेस करने में सक्षम। उन्होंने चेतावनी दी कि यह हैकर्स के लिए एक "स्वर्ग" जैसा है, जहाँ शोषण के कई बिंदु हैं।

ज़ेनिटी के सह-संस्थापक और सीईओ बेन कालिगर ने ज़ोर देकर कहा कि कंपनी के शोध से पता चलता है कि मौजूदा सुरक्षा तरीके अब एआई सहायकों के काम करने के तरीके के लिए उपयुक्त नहीं हैं। उन्होंने संगठनों से अपने दृष्टिकोण में बदलाव लाने और इन "एजेंटों" की गतिविधियों को नियंत्रित और निगरानी करने में सक्षम होने के लिए विशेष समाधानों में निवेश करने का आह्वान किया।

ज़ेनिटी की स्थापना 2021 में हुई थी। वर्तमान में दुनिया भर में इसके लगभग 110 कर्मचारी हैं, जिनमें से 70 इसके तेल अवीव कार्यालय में काम करते हैं। ज़ेनिटी के ग्राहकों में कई फॉर्च्यून 100 और यहाँ तक कि फॉर्च्यून 5 कंपनियाँ भी शामिल हैं।

विषय पर वापस जाएँ

वीएनए

स्रोत: https://tuoitre.vn/lo-hong-nghiem-trong-tren-chatgpt-va-loat-tro-ly-ai-nguoi-dung-bi-lua-dao-lo-thong-tin-20250811131018876.htm