ΑρχικήinetΤο ChatGPT επιτρέπει πρόσβαση στο υποκείμενο sandbox OS

Το ChatGPT επιτρέπει πρόσβαση στο υποκείμενο sandbox OS

Η πλατφόρμα ChatGPT της OpenAI παρέχει μεγάλο βαθμό πρόσβασης στο sandbox του LLM, επιτρέποντάς σας να ανεβάσετε προγράμματα και αρχεία, να εκτελέσετε εντολές και να περιηγηθείτε στη δομή αρχείων του sandbox.

Δείτε επίσης: Το ChatGPT-4o μπορεί να χρησιμοποιηθεί σε φωνητικές απάτες

Το περιβάλλον δοκιμών ChatGPT είναι ένα απομονωμένο περιβάλλον που επιτρέπει στους χρήστες να αλληλεπιδρούν με αυτό με ασφάλεια ενώ είναι αποκλεισμένο από άλλους χρήστες και τους κεντρικούς διακομιστές. Αυτό το επιτυγχάνει περιορίζοντας την πρόσβαση σε ευαίσθητα αρχεία και φακέλους, αποκλείοντας την πρόσβαση στο Διαδίκτυο και επιχειρώντας να περιορίσει τις εντολές που μπορούν να χρησιμοποιηθούν για την εκμετάλλευση ελαττωμάτων ή για πιθανή έξοδο από το sandbox.

Advertisement

Ο Marco Figueroa του δικτύου έρευνας 0-day της Mozilla, 0DIN, ανακάλυψε ότι είναι δυνατό να αποκτήσετε εκτεταμένη πρόσβαση στο sandbox, συμπεριλαμβανομένης της δυνατότητας αποστολής και εκτέλεσης σεναρίων Python και λήψης του βιβλίου αναπαραγωγής του LLM. Σε μια αναφορά που κοινοποιήθηκε αποκλειστικά στο BleepingComputer πριν από τη δημοσίευση, ο Figueroa επιδεικνύει πέντε ελαττώματα, τα οποία ανέφερε υπεύθυνα στην OpenAI. Η εταιρεία AI έδειξε ενδιαφέρον μόνο για ένα από αυτά και δεν υπέβαλε σχέδια για περαιτέρω περιορισμό της πρόσβασης.

Ενώ εργαζόταν σε ένα έργο Python στο ChatGPT, ο Figueroa έλαβε ένα σφάλμα “ο κατάλογος δεν βρέθηκε“, το οποίο τον οδήγησε να ανακαλύψει το κατα πόσο ένας χρήστης ChatGPT μπορεί να αλληλεπιδράσει με το sandbox. Σύντομα, έγινε σαφές ότι το περιβάλλον επέτρεπε μεγάλη πρόσβαση στο sandbox, επιτρέποντάς σας να ανεβάσετε και να κατεβάσετε αρχεία, να καταχωρίσετε αρχεία και φακέλους, να ανεβάσετε προγράμματα και να τα εκτελέσετε, να εκτελέσετε εντολές Linux και να εξάγετε αρχεία που είναι αποθηκευμένα στο sandbox.

Δείτε ακόμα: Το ChatGPT λαμβάνει νέα χρήσιμη δυνατότητα αναζήτησης

Χρησιμοποιώντας εντολές, όπως ‘ls‘ ή ‘list files‘, ο ερευνητής μπόρεσε να λάβει μια λίστα με όλους τους καταλόγους του υποκείμενου συστήματος αρχείων sandbox, που περιείχε διαμόρφωση και ρύθμιση πληροφοριών.

chatgpt

Στη συνέχεια, πειραματίστηκε με εργασίες διαχείρισης αρχείων, ανακαλύπτοντας ότι ήταν σε θέση να ανεβάσει αρχεία στο φάκελο /mnt/data καθώς και να κατεβάσει αρχεία από οποιονδήποτε φάκελο ήταν προσβάσιμος. Θα πρέπει να σημειωθεί ωστόσο, ότι το sandbox δεν παρέχει πρόσβαση σε συγκεκριμένους ευαίσθητους φακέλους και αρχεία, όπως ο φάκελος /root και διάφορα αρχεία.

Μεγάλο μέρος αυτής της πρόσβασης στο sandbox του ChatGPT έχει ήδη αποκαλυφθεί στο παρελθόν, με άλλους ερευνητές να βρίσκουν παρόμοιους τρόπους για να το εξερευνήσουν.

Ωστόσο, ο ερευνητής διαπίστωσε ότι μπορούσε επίσης να ανεβάσει προσαρμοσμένα σενάρια Python και να τα εκτελέσει μέσα στο sandbox. Για παράδειγμα, ο Figueroa ανέβασε ένα απλό σενάριο που βγάζει το κείμενο “Hello, World!” και το εκτέλεσε, με την έξοδο να εμφανίζεται στην οθόνη.

Για νομικούς λόγους, ο ερευνητής λέει ότι δεν μπόρεσε να ανεβάσει “κακόβουλα” σενάρια που θα μπορούσαν να χρησιμοποιηθούν για να προσπαθήσουν να ξεφύγουν από το sandbox ή να εκτελέσουν πιο κακόβουλη συμπεριφορά.​

Ο Figueroa ανακάλυψε επίσης ότι θα μπορούσε να χρησιμοποιήσει την άμεση μηχανική για να κατεβάσει το ChatGPT “playbook”, το οποίο διέπει τον τρόπο συμπεριφοράς και ανταπόκρισης του chatbot στο γενικό μοντέλο ή στις μικροεφαρμογές που δημιουργήθηκαν από τον χρήστη.

Δείτε επίσης: ChatGPT Jailbreak: Ερευνητές παρακάμπτουν τις διασφαλίσεις AI

Το Sandbox αναφέρεται σε έναν μηχανισμό ασφαλείας που χρησιμοποιείται σε περιβάλλοντα λογισμικού για την εκτέλεση κώδικα μεμονωμένα. Αυτή η τεχνική επιτρέπει τον έλεγχο και την εκτέλεση δυνητικά μη αξιόπιστων προγραμμάτων χωρίς να επηρεάζεται το ευρύτερο σύστημα. Δημιουργώντας ένα περιορισμένο περιβάλλον, ένα sandbox διασφαλίζει ότι τυχόν επιβλαβείς ενέργειες ή κακόβουλος κώδικας παραμένουν κλειστοί, αποτρέποντας έτσι τη ζημιά στο κεντρικό σύστημα ή την πρόσβαση σε ευαίσθητα δεδομένα. Χρησιμοποιείται ευρέως στην ασφάλεια στον κυβερνοχώρο για την ανάλυση κακόβουλου λογισμικού, τον έλεγχο τρωτών σημείων λογισμικού και τη διασφάλιση της συμπεριφοράς των εφαρμογών όπως αναμένεται. Το μοντέλο sandbox είναι ζωτικής σημασίας για τη διαφύλαξη των σύγχρονων υπολογιστικών περιβαλλόντων, παρέχοντας ένα κρίσιμο επίπεδο άμυνας σε διάφορα λειτουργικά συστήματα και εφαρμογές.

Πηγή: bleepingcomputer

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS