ChatGPT连接器曝安全漏洞：文档可被植入恶意代码窃取数据

8月7日消息，据《连线》杂志昨日（8月6日）报道，安全研究人员在OpenAI的Connectors功能中发现了一个严重漏洞。这一发现由网络安全专家Michael Bargury和Tamir Ishay Sharbat在拉斯维加斯举行的Black Hat黑客大会上公开披露。

研究人员指出，黑客可以利用该漏洞通过间接提示注入攻击，无需任何用户交互就能从Google Drive账户中窃取敏感信息。在演示中，Bargury成功从测试账户中提取出了开发者密钥。

"整个过程完全不需要用户点击或确认，"Bargury解释道，"攻击者只需要知道你的邮箱地址并共享一个文档就能完成入侵。这种攻击方式极其危险。"

目前OpenAI尚未就此事向《连线》杂志作出回应。Connectors是OpenAI今年早些时候为ChatGPT推出的测试功能，支持与包括Google Drive在内的至少17种第三方服务进行连接。

根据OpenAI官方说明，该功能允许用户"将外部工具和数据接入ChatGPT"，实现"文件搜索、实时数据获取和内容引用"等功能。

Bargury透露，他早在今年年初就向OpenAI报告了该漏洞。公司随后迅速采取了防护措施，限制了通过Connectors提取数据的能力。不过值得注意的是，该漏洞每次只能窃取有限数据量，无法直接下载完整文档。