Secondo un post sul blog dei ricercatori della società di sicurezza informatica Veriti, una vulnerabilità critica in ChatGPT potrebbe essere sfruttata dai criminali informatici per ottenere l’accesso non autorizzato a informazioni sensibili. La falla, CVE-2024-27564, potrebbe rappresentare un rischio per le aziende che utilizzano l’applicazione di intelligenza artificiale generativa (GenAI). “Consente agli aggressori di iniettare URL dannosi nei parametri di input, costringendo l’applicazione a effettuare richieste indesiderate per loro conto“, così come si legge nel post.
Questi attacchi potrebbero causare violazioni dei dati, transazioni non autorizzate, sanzioni normative e danni alla reputazione, riporta pymnts.com. A ogni modo, il bug di ChatGPT è ufficialmente classificato come di “media gravità” nel National Vulnerability Database del National Institute of Standards and Technology. La cattiva notizia è che, nella giornata di ieri, CVEDetails.com ha aggiornato il suo punteggio Exploit Prediction Scoring System del bug dall’1,68% a un molto più preoccupante 55,36%.
Secondo un rapporto di Dark Reading, in una sola settimana sono stati effettuati più di diecimila tentativi che coinvolgevano la vulnerabilità ChatGPT, provenienti da un singolo indirizzo IP dannoso. Il post di Veriti ha affermato che gli obiettivi di sfruttamento più comuni sono istituzioni finanziarie e entità governative statunitensi.
Ecco alcuni passaggi che è possibile adottare immediatamente per affrontare questa minaccia e proteggere i dati e i sistemi:
- Monitoraggio dell’utilizzo di ChatGPT per rilevare eventuali attività sospette o tentativi di accesso non autorizzati
- Collaborare con l’IT per implementare tecniche che garantiscano che nel tuo sistema vengano inseriti solo dati correttamente formattati e sicuri
- Garantire che tutti i software e i sistemi, comprese le integrazioni ChatGPT, siano aggiornati con le ultime patch di sicurezza
- Formare i dipendenti sui rischi associati alla tecnologia GenAI e su come identificare e segnalare attività sospette
