一周安全漫谈丨OpenAI官宣“漏洞赏金计划” 给ChatGPT找漏洞
OpenAI官宣“漏洞赏金计划”
给ChatGPT找漏洞,最高奖励14万元!
4月12日,ChatGPT母公司OpenAI官方发布声明,宣布推出一项漏洞赏金计划,并承诺及时补救已验证的漏洞,以创造有利于所有人的安全、可靠和值得信赖的技术和服务。
OpenAI 在公告中表示,OpenAI 的使命是创造有利于整个人类的人工智能系统。为此呢,他们在研究和工程方面进行了大量投资,以确保我们的人工智能系统是安全和可靠的。然而,不得不承认,就像其他任何复杂的技术一样,人工智能系统也可能会出现漏洞和缺陷。因此就有了本次漏洞赏金计划,邀请全球的安全研究人员和技术爱好者来帮助OpenAI来识别可能存在的风险。
之所以推出漏洞赏金计划呢事实上也事出有因。上个月,OpenAI 披露了一起 ChatGPT 支付数据泄露事件,由于其平台使用的 Redis 客户端开源库中存在一个漏洞,导致ChatGPT Plus 订阅者们能够在个人订阅页面上看到其他用户的电子邮件地址。在漏洞被披露后的9个小时内,大约1.2%的活跃用户的包括查询记录、订户姓名、电子邮件地址、付款地址和部分信用卡信息等个人隐私数据被泄露。虽然OpenAI并没有再次提及这次漏洞事件,但也不难揣测这二者之间的关联性。
为了鼓励研究人员积极提交漏洞,OpenAI将根据报告问题的严重程度和影响提供现金奖励,奖励范围从低危200美元到高危2万美元不等,最高赏金也就是大约14万元人民币。白帽子们还等什么呢,一个全球最受关注的致谢机会在等你。
当然关于OpenAI的漏洞赏金计划我们也能够在侧面找到一些有意思的话题,比如,尽管许多安全团队已经通过API接入了ChatGPT服务来更高效的处理安全事件,但就目前来说ChatGPT还发现不了自己的漏洞,仍然需要安全研究人员们的帮助。
此外,正如OpenAI自己所说,ChatGPT也如同任何复杂的技术一样,漏洞和风险缺陷无法避免。随着ChatGPT的火热,一些反对的声音也逐渐提出,比如在被曝出泄露三星数据后,花旗银行、高盛、摩根大通、德意志银行等都发布了禁止员工使用ChatGPT的公告。欧洲包括意大利、德国、法国和爱尔兰等国家都开始从隐私监管的角度对ChatGPT进行批判。在国内,本周早些时候,中国支付清算协会也向整个金融保险行业发出了谨慎使用ChatGPT等工具的倡议,维护国家金融及支付清算行业安全。
可以看到,在蒙眼狂奔过后,包括OpenAI和用户们已经开始认真思考ChatGPT的安全命题了。
小心中招!
Windows新漏洞被黑客利用植入勒索软件
本周,卡巴斯基团队发布消息称,在位于中东、北美和亚洲的中小企业的Windows 服务器上检测到了一个特权提升的漏洞,有证据表明该漏洞已经被黑客利用植入勒索软件,主要针对位于中东、北美和亚洲的中小企业的Windows设备发起攻击。
经过微软官方审核,确认了这是一个存在于Windows系统中的一个零日漏洞,该漏洞已经被黑客利用,被用于发起勒索软件攻击。该漏洞编号为CVE-2023-28252,被微软定位重大漏洞。
据悉,该漏洞存在于Windows通用日志文件系统中,攻击者能够利用该漏洞获取设备的全部访问权限,从而利用恶意软件加密文件,窃取有价值的信息,并通过公开信息等方式威胁用户支付赎金。
卡巴斯基团队表示,卡巴斯基过去遇到过的0Day漏洞大多数都被用于APT攻击,这个漏洞还是第一个被勒索软件组织用于勒索的0Day漏洞。这证明,勒索犯罪团伙攻击技术的复杂程度已经有了显著提高。
目前,微软在最新的安全公告中表示,已经在Win10和Win11的最新版本中修复了该漏洞。考虑到该漏洞的危险性,微软在公告中敦促符合升级条件用户尽快升级系统,以避免系统安全受到威胁。
在勒索软件面前人人平等,哪怕是个人用户也同样存在被加密勒索的可能,因此我们也有必要再次提醒Windows用户,尽快将系统升级到最新版本,及时规避风险。
关注安全419,我们下周再见~