مطالب پربازدید

1404/05/18 - 08:57- تروریسم سایبری

استفاده از مایکروسافت آژور برای جاسوسی از فلسطینیان

رژیم صهیونیستی از مایکروسافت آژور برای جاسوسی از فلسطینیان، آماده‌سازی حملات هوایی مرگبار و سازماندهی عملیات‌های نظامی در غزه و کرانه باختری استفاده می‌کند.

1404/05/23 - 14:10- هوش مصنوعي

نگاهی به فیلم سینمایی همنشین(Companion)

1404/04/28 - 16:13- هوش مصنوعي

یادداشتی بر فیلم سینمایی وحشت‌زده(AfrAId)

کامیار عزیزی

انتشار شده در تاریخ 1404/06/31 - 08:54

رفع آسیب‌پذیری شادولیک در دیپ ریسرچ اوپن‌اِی‌آی

شرکت اوپن‌اِی‌آی یک آسیب‌پذیری مهم امنیتی را در ابزار دیپ ریسرچ برطرف کرد؛ ابزاری که از فوریه معرفی شد و به کاربران امکان می‌دهد با کمک چت جی پی تی در اینترنت یا حتی درون ایمیل‌ها و اسناد شخصی خود جست‌وجو کرده و گزارشی جامع دریافت کنند.

به گزارش کارگروه امنیت خبرگزاری سایبربان، این نقص امنیتی که توسط شرکت امنیت سایبری رادویر (Radware) کشف و شادولیک (ShadowLeak) نام‌گذاری شد، به مهاجم اجازه می‌داد بدون هیچ اقدامی از سوی کاربر (اصطلاحاً حمله‌ی zero-click) داده‌های حساس را سرقت کند.

پژوهشگران گابی ناکیبلی، زویکا بابو و ماور اوزیل نشان دادند که تنها با ارسال یک ایمیل آلوده می‌توان این ضعف را فعال کرد.

زمانی که کاربر از دیپ ریسرچ (Deep Research) می‌خواهد ایمیل‌های روزانه را خلاصه کند یا درون صندوق ورودی‌اش جست‌وجو نماید، این عامل هوش مصنوعی پیام مخرب را پردازش کرده و به‌طور خودکار اطلاعات شخصی مانند نام، آدرس یا داده‌های داخلی را به سرور تحت کنترل مهاجم ارسال می‌کرد؛ آن هم بدون اینکه قربانی حتی ایمیل را باز یا مشاهده کرده باشد.

به گفته دیوید آویو، مدیر ارشد فناوری رادویر، این حمله کاملاً پنهانی انجام می‌شد و هیچ نشانه‌ای برای قربانی وجود نداشت.

رادویر این باگ را در ۱۸ ژوئن از طریق پلتفرم باگ کراود (BugCrowd) به اوپن‌اِی‌آی گزارش کرد.

اوپن‌اِی‌آی اوایل اوت مشکل را رفع کرد و در سوم سپتامبر آن را به‌طور رسمی تمام شده اعلام نمود.

این شرکت تأکید کرد امنیت برایشان اولویت بالایی دارد و آزمایش‌های محققان به بهبود پایداری و ایمن‌سازی مدل‌ها کمک می‌کند.

به گفته محققان، این حمله شواهدی در سطح شبکه بر جای نمی‌گذارد و می‌تواند با تکنیک‌های ظاهرسازی مانند متن سفید روی سفید پنهان شود.

نمونه آزمایشی آن ایمیلی بود با عنوان «بسته بازسازی – موارد اقدام» که دستورات مخفی را در متن داشت و دیپ ریسرچ را مجبور به ارسال داده‌های کاربر به سرور مهاجم می‌کرد.

مهاجم می‌توانست سرور خود را به‌عنوان «سیستم اعتبارسنجی انطباق» جا بزند تا درخواست مشروع به نظر برسد.

گرچه آزمایش روی جیمیل (Gmail) انجام شد، اما پژوهشگران هشدار دادند همین روش می‌تواند روی سرویس‌های دیگری چون گوگل درایو (Google Drive)، دراپ باکس (Dropbox) و شیرپوینت (SharePoint) نیز اجرا شود و داده‌های حساس تجاری مانند قراردادها، یادداشت جلسات یا اطلاعات مشتریان را استخراج کند.

این آسیب‌پذیری نمونه‌ای از نسل جدید تهدیدها علیه ابزارهای خودکار متصل به منابع داده است که در صورت سوءاستفاده می‌تواند پیامدهای گسترده‌ای برای امنیت سازمان‌ها داشته باشد.