Для осуществления атаки необходима специально подготовленная веб-страница и действия со стороны жертвы.

Специалист по безопасности Йохан Рехбергер рассказал о методе, позволяющем злоумышленнику получить данные, загруженные пользователем в чатбот ChatGPT Plus. Эти файлы хранятся в изолированной среде, и через интерфейс бота к ним можно обращаться так же, как к обычным файлам в Linux. Благодаря этому ChatGPT можно попросить передать файлы на удаленный сервер.

Рехбергер подготовил страницу с инструкциями, научившими чатбота кодировать все файлы в изолированной среде и передавать полученные данные на удаленный сервер. Когда чатботу было предложено обработать эту 'вредоносную' страницу, он последовал инструкциям и отправил данные.

Аналогичный эксперимент провел один из журналистов Tom's Hardware, и уязвимость сработала: бот отправил данные пользователя на удаленный сервер без проблем.

Пока уязвимость трудно считать по-настоящему опасной: для ее использования необходимо, чтобы пользователь бота не только хранил чувствительные файлы в изолированной среде, но и поручил боту обработать закладку.

Однако, если такие 'закладки' можно сделать невидимыми, например, скрыв их в коде страницы и не отображая на экране, то опасность может немного возрасти. Исследователи надеются, что разработчики ChatGPT предпримут меры по устранению уязвимости.