Google Chrome 瀏覽器擴(kuò)展 EmailGPT 曝出高危零日漏洞。

EmailGPT 是 Google Chrome 的流行擴(kuò)展程序，通過使用 OpenAI 公開提供的人工智能模型，幫助其用戶在 Gmail 服務(wù)上撰寫電子郵件（用戶向該服務(wù)提供原始數(shù)據(jù)和上下文，接收人工智能反饋的內(nèi)容，以此撰寫電子郵件）。然而，最近的一項(xiàng)研究發(fā)現(xiàn)，該服務(wù)存在一個(gè)高危安全漏洞。

據(jù)悉，安全漏洞由 Synopsys 網(wǎng)絡(luò)安全研究中心的專家發(fā)現(xiàn)并上報(bào)，追蹤為 CVE-2024-5184（CVSS 得分為 6.5），是一個(gè) "提示注入 "類型的漏洞，允許威脅攻擊者操縱服務(wù)并盜取敏感信息，可能引發(fā)知識產(chǎn)權(quán)泄露、拒絕服務(wù)和大額經(jīng)濟(jì)損失。

CVE-2024-5184 安全漏洞的存在，使得 EmailGPT 在使用 API 服務(wù)時(shí)，可能會允許威脅攻擊者注入第三方提示并操縱服務(wù)邏輯，導(dǎo)致泄露系統(tǒng)提示或執(zhí)行不需要的命令。例如，威脅攻擊者可以創(chuàng)建一個(gè)嵌入不需要的功能的提示，從而進(jìn)行數(shù)據(jù)”挖掘“、使用被入侵的賬戶發(fā)送垃圾郵件或者為郵件列表創(chuàng)建誤導(dǎo)性內(nèi)容。

Synopsys 方面表示，網(wǎng)絡(luò)安全研究人員在公布 CVE-2024-5184 安全漏洞詳細(xì)信息之前聯(lián)系了 EmailGPT 的開發(fā)人員，但目前尚未收到任何回復(fù)。鑒于當(dāng)下還沒有辦法緩解該安全漏洞，Synopsys 建議有關(guān)用戶應(yīng)立即從瀏覽器中刪除 EmailGPT。

SlashNext 電子郵件安全公司首席執(zhí)行官 Patrick Harr 強(qiáng)調(diào)，必須對人工智能模型進(jìn)行嚴(yán)格管理并實(shí)施額外的安全措施，以防止安全漏洞及其后續(xù)利用。此外，對于一些將人工智能整合到業(yè)務(wù)流程中的公司，更應(yīng)該要求人工智能模型供應(yīng)商提供真正的安全證明，避免安全事件的發(fā)生。

參考文章：https://www.itsec.ru/news/rasshireniye-emailgpt-dlia-pochti-google-soderzhit-neispravlennuyu-0day-uyazvimost