Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Расширение EmailGPT для почты Google содержит неисправленную 0day-уязвимость

11/06/24

960x0 (2)

Специалисты из Cybersecurity Research Center (CyRC) компании Synopsys обнаружили zero-day уязвимость в EmailGPT, популярном расширении для Google Chrome.

Уязвимость типа «Prompt Injection» с идентификатором CVE-2024-5184 позволяет злоумышленникам манипулировать услугой и получать доступ к конфиденциальной информации, пишет Securitylab.

EmailGPT использует общедоступные ИИ-модели от OpenAI для помощи пользователям в составлении писем в сервисе Gmail. Пользователи получают ИИ-подсказки для написания писем, предоставляя сервису исходные данные и контекст. Однако недавнее открытие выявило серьёзный изъян в работе расширения.

EmailGPT использует API-сервис, который позволяет злоумышленникам внедрять сторонние подсказки и управлять логикой сервиса. Это может привести к утечке системных подсказок или выполнению нежелательных команд.

Так, злоумышленник может создать промпт, который встраивает нежелательную функциональность, что может привести к:

  • извлечению данных;
  • спам-кампаниям с использованием взломанных аккаунтов;
  • созданию вводящего в заблуждение контента для рассылки;

Эта уязвимость, оцененная в 6.5 балла по шкале CVSS, может также привести к утечке интеллектуальной собственности, отказу в обслуживании и финансовым потерям.

Synopsys сообщает, что их исследователи связались с разработчиками EmailGPT до публикации деталей, но ответа не получили. Synopsys рекомендует немедленно удалить EmailGPT из своего браузера, ведь каких-либо путей для смягчения последствий уязвимости пока нет.

Патрик Харр, CEO компании SlashNext Email Security, отметил важность строгого управления и внедрения дополнительных мер безопасности для ИИ-моделей, чтобы предотвратить появление уязвимостей и их последующую эксплуатацию.

Харр также добавил, что компании, планирующие интеграцию ИИ в свои бизнес-процессы, должны требовать от поставщиков ИИ-моделей реальных доказательств их безопасности.

Темы:Угрозыэлектронная почта0Day-уязвимостиSynopsys
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...