Два значителни пробива в сигурността в OpenAI

Дори най-новите технологии не са застраховани срещу пропуски в сигурността, а това изглежда важи и за създателите на най-популярното решение с изкуствен интелект ChatGPT, OpenAI. През изминалите дни се появиха нови разкрития за два случая на проблеми със сигурността там. В първия случай се касае за приложението за Mac на ChatGPT, а във втория става дума за по-обширни опасения относно това как компанията се справя с киберзащитата си.

По-рано през седмицата инженерът и разработчик на Swift, Педро Хосе Перейра Виейто, е проучил детайлно приложението на ChatGPT за Mac. Така той е открил, че програмата съхранява локално разговори с потребителите в текстови формат, без да ги криптира. Припомняме, че приложението се изтегля директно от сайта на OpenAI, а не минава през App Store, което означава, че не трябва да отговаря на изискванията на Apple по отношение на sandboxing.

The OpenAI ChatGPT app on macOS is not sandboxed and stores all the conversations in **plain-text** in a non-protected location:

~/Library/Application Support/com.openai.chat/conversations-{uuid}/

So basically any other app / malware can read all your ChatGPT conversations: pic.twitter.com/IqtNUOSql7

— Pedro José Pereira Vieito (@pvieito) July 2, 2024

След като това откритие стана обществено достояние и привлече повече внимание, компанията пусна обновление, с което добавя криптиране на локално съхранените чатове. Иначе записът в чист текстови формат позволява по-лесен потенциален достъп до данните от други приложения и зловреден софтуер.

Преминаваме и към втория случай, който е от миналата година, но има продължаващо действие дори и сега. Миналата пролет хакер е успял да се сдобие с информация от OpenAI след като е добил достъп до системите за вътрешна комуникация на компанията. Още тогава бяха посочени опасения, че това е доказателство за наличието на уязвимости, от които могат да се възползват външни агенти.

Служителят, който разгласи информация за този пробив в последствие е бил уволнен от OpenAI, а от компанията твърдят, че това не е свързано с разпространяването на данни за случилото се.

Разбира се трябва да отбележим, че уязвимостите в приложенията са нещо, с което се е сблъсквала всяка технологична компания. Нападенията хакери, също са неприятно често срещани, както са и спорните отношения между лицата, подаващи сигнали, и техните бивши работодатели.

В крайна сметка обаче важното е как компаниите реагират при подобни ситуации. По отношение на уязвимостта, реакцията изглежда е бърза, но все пак това е нещо, което е могло да бъде избегнато. Що се касае до пробива в сигурността, това са вътрешни проблеми за OpenAI, които най-вероятно няма да станат публично достояние, но има вероятност вече да са отстранени.

При всички положения играта на котка и мишка между разработчиците и хакерите щ продължава с пълна сила и в разнообразни сектори.