Günümüzde, yapay zeka destekli hizmetler artık ana akımın bir parçası haline gelmiş durumda. Bu, giderek daha fazla insanın bu hizmetleri aktif bir şekilde kullanması ve onları günlük yaşamlarına entegre etmesi anlamına geliyor. Ancak, tıpkı internet gezintisinde olduğu gibi, yapay zeka kullanırken dikkat edilmesi gereken bazı önemli noktalar var; bu noktalar çoğu kişi tarafından göz ardı ediliyor. Sonuç olarak, bu durum, bireylerin veri güvenliğini tehlikeye atabilir. Yeni bir gelişme olarak, bir siber güvenlik firması, ChatGPT’de kullanıcıların Gmail hesaplarından özel bilgilerini çalınmasına olanak tanıyabilecek bir açık keşfetti.
ChatGPT’de Gmail verilerini açığa çıkarabilecek bir açık bulundu
Açığı tespit eden ekip Radware. OpenAI, bu açığın üzerine hemen bir güvenlik yaması gönderdi. Ancak, bu bulgular, daha karmaşık ve yeni bir tehdit ortamına dikkat çekiyor.
Radware siber güvenlik ekibi, bu sorunu ChatGPT’nin “derin araştırma” işlevi içerisinde buldu. Eğer bilmiyorsanız, bu özellik Gmail ve Google Drive gibi bağlı uygulamalardan büyük miktarda bilgi analiz etme kapasitesine sahiptir. Radware’ye göre, bir hacker, kullanıcıdan gizli talimatlar içeren özel bir e-posta göndererek ChatGPT’yi Gmail gelen kutusunda derin araştırma sorgusu yapmaya ikna edebilirdi. Chatbot, bu şekilde hassas bilgileri, kötü niyetli bir web sitesine sızdırabilirdi. Bu bilgiler isimlerden adreslere kadar çeşitlilik gösterebilir.
Bu açığın öne çıkan bir özelliği, bir yapay zeka ajanının veri çalmak için nasıl istismar edilebileceğini göstermesidir. Genellikle kötü niyetli kişiler, yapay zekayı doğrudan saldırılar gerçekleştirmek için bir araç olarak kullanır. Uygulamak bir hayli zorlayıcıydı; çünkü çok özel bir senaryo gerektiriyordu. Kullanıcının, kötü niyetli e-postanın tasarlandığı bir konu (örneğin İK) hakkında bir sorgu yapması gerekiyordu.
Açık hızla kapatıldı, ancak yeni bir tehdit kategorisi temsil ediyor
OpenAI, açığı öğrendikten sonra, onu Ağustos ayında hızlı bir şekilde yamanı uyguladı ve Eylül ayında durumu doğruladı. Şirketin bir sözcüsü, modellerinin güvenliğinin en büyük önceliklerinden biri olduğunu belirtti. Ayrıca, topluluktan gelen araştırmaların, teknolojilerini geliştirmelerine yardımcı olmaktan memnuniyet duyduklarını ifade etti.
Neyse ki, bu açık artık istismar edilemez durumda. Ancak, bu keşif, yeni bir güvenlik riskleri kategorisine işaret ediyor. Yapay zeka ajanları günlük yaşamımızda daha güçlü ve entegrasyonlu hale geldikçe, onların bir veri çalma aracı haline gelmemesini sağlamak, geliştiriciler ve siber güvenlik uzmanları için kritik bir zorluk oluşturuyor.
