Браузерные расширения для ChatGPT могут быть опасны

Искусственный интеллект за последние годы стал для миллионов людей повседневным инструментом, который существенно облегчает выполнение сложных рабочих задач, а зачастую полезен и в быту. Большинство людей использует ИИ в созидательных целях, но рядом трутся мошенники, которые уже начали использовать популярность нейросетей для взломов и доступа к чужим персональным данным.

Краткое содержание

• В магазинах расширений для браузеров обнаружены вредоносные плагины;
• Заявлено, что они так или иначе улучшают работу ChatGPT;
• На самом деле плагины могут захватить доступ к ChatGPT;
• Кража учётной записи — это очень плохо.

Что случилось

Специалисты по кибербезопасности из компании LayerX Security сообщают, что обнаружили ряд вредоносных плагинов, замаскированных под полезные инструменты для ChatGPT. В описании к расширениям сообщалось, что они помогут повысить продуктивность и улучшить взаимодействие пользователя с искусственным интеллектом. На самом деле эти плагины тихонько получали доступ к персональным данным доверчивых юзеров и захватывали их учётные записи.

Эксперты уже обнаружили 16 таких расширений в Chrome Web Store и Microsoft Edge Add-ons. Они назывались и выглядели по-разному, многие успешно имитировали полезность и вроде бы даже что-то делали.

Но на самом деле их основной целью были токены ChatGPT. Их перехватывали и отсылали на сервер злоумышленников. После этого мошенники получали доступ к аккаунтам пользователей, их истории диалогов, метаданным, содержимому подключенных облачных хранилищ, чатов и других сервисов.

При этом никаких уязвимостей ChatGPT не использовалось. Эксперты отмечают, что хакеры внедряли свой код в основной JavaScript-контекст страницы chatgpt.com. Вредоносный код умело прятали, поэтому защита не обнаруживала ничего подозрительного в браузерах. После того, как расширение начинало работать, его уже было не остановить: к хакерам утекала вся информация.

Кто виноват

Эксперты утверждают, что всё это, судя по всему, организовал один человек или небольшая группа киберпреступников. На момент обнаружения их уже загрузили более 900 раз. И в этом нет ничего удивительного. Даже продвинутые пользователи ПК могли купиться на описания, ведь почти у всех этих расширений были накручены высокие оценки, а одно даже получило в Chrome Web Store рекомендательный значок.

Конечно же, виноваты и сами пользователи. Специалисты по кибербезопасности предупреждают: не стоит доверять сомнительным подборкам «лучших AI-инструментов для браузеров», найденным в небольших телеграм-каналах. Да и вообще не стоит ставить на свой компьютер что попало, предварительно не убедившись в том, что это безопасно.