ChatGPT’de keşfedilen güvenlik açığı, bağlı hesaplardan API anahtarları ve hassas bilgilerin sızmasına yol açabiliyor. Siber suçlular, kullanıcının haberi olmadan önemli verileri ele geçirebiliyor. Lafı uzatmadan neler olduğuna birlikte bakalım…
Yeni bir güvenlik raporu, ChatGPT’nin bağlı hesaplar üzerinden veri sızdırabilecek bir açığa sahip olduğunu ortaya koydu. “AgentFlayer” adı verilen yöntem, kullanıcının hiçbir şey yapmaması durumunda bile sisteme bağlı Google Drive, SharePoint gibi servislerden bilgi çekebiliyor.
Saldırı masum görünen bir dosya üzerinden gerçekleşiyor. Dosya içerisine gizlenen komutlar, ChatGPT’ye normal bir isteği yapması yerine, bağlı hesaplardan veri toplamasını söylüyor. Kullanıcı dosyayı yüklediğinde süreç otomatik olarak işliyor.
Raporda saldırganların elde ettiği bilgileri kendi sunucularına aktarabildiği belirtildi. Yani API anahtarları, belgeler veya özel notlar gibi hassas içerikler dışarıya çıkıyor.
Uzmanlar, ChatGPT’nin Gmail, takvim veya bulut depolama servisleriyle entegrasyonunun, tehdit alanını genişlettiğini vurguladı. Saldırının en dikkat çekici yanı ise kurbanın hiçbir bağlantıya tıklamaması veya onay vermemesi.
OpenAI açığın bildirilmesinden hemen sonra müdahale edip, önlemler aldığını açıkladı. Ancak siber güvenlik uzmanları, yapay zeka platformlarının bu tür saldırılara karşı halen savunmasız olduğunu ve entegrasyonlarda ek koruma katmanlarının olması gerektiğini vurguluyor.
