ส่งเอกสารให้ AI ดู เสี่ยง Google drive ถูกขโมย!

ช่วงนี้ ChatGPT โดนเทสหนัก หลังจากมีนักวิจัยด้านความปลอดภัยทดสอบระบบอยู่บ่อยครั้ง และส่วนใหญ่มักพบช่องโหว่ด้านความปลอดภัยเสมอ ล่าสุดก็มีรายงานใหม่จากนักวิจัยด้านความปลอดภัย ที่ทำให้ผู้ใช้งานต้องหันมาระวังมากขึ้นอีกครั้ง

โดยพบว่า ฟีเจอร์ ChatGPT Connectors ของ OpenAI ที่บอกว่ามีช่องโหว่ที่อาจเปิดโอกาสให้แฮกเกอร์ขโมยข้อมูลจากบัญชี Google Drive ได้ โดยที่ผู้ใช้ไม่ต้องกดคลิกลิงก์ใด ๆ หรือการโจมตีที่เรียกว่า “Zero-Click”

ซึ่งใช้กลไกการโจมตีจากการสร้างไฟล์ที่แฝงคำสั่งอันตรายไว้ ไม่ว่าจะเป็นข้อความที่ซ่อนในไฟล์ หรือแม้โค้ดที่อยู่ใน metadata ของเอกสารเอง เมื่อผู้ใช้โยนไฟล์นี้ให้ ChatGPT ผ่าน Google Drive Connector เพื่อสรุป วิเคราะห์ หรือดึงข้อมูล

ระบบ AI ก็จะอ่านเนื้อหาภายในไฟล์เหมือนคำสั่งปกติ แต่ปัญหาคือ ChatGPT ยังไม่สามารถแยกได้ว่า ข้อความที่ซ่อนอยู่นั้นเป็นคำสั่งของผู้ใช้จริง หรือเป็นคำสั่งที่แฮกเกอร์ซ่อนไว้ได้ กลายเป็นว่า ChatGPT อาจถูก “บังคับ” ให้ใช้สิทธิ์เชื่อมต่อ Google Drive ของผู้ใช้เอง และดึงข้อมูลส่วนตัว เพื่อส่งออกไปยังเซิร์ฟเวอร์ของแฮกเกอร์โดยอัตโนมัติ

พูดง่าย ๆ คือ แฮกเกอร์สามารถ “สวมรอยสิทธิ์ของ ChatGPT” ที่เราเปิดไว้กับ Google Drive ไว้มาใช้ในทางที่ผิด และนั่นหมายถึงความเสี่ยงใหญ่ต่อเอกสาร ข้อมูลสำคัญ และความเป็นส่วนตัวของผู้ใช้งาน หลัง OpenAI ได้รับรายงานก็ได้ดำเนินการแก้ไขช่องโหว่นี้ โดยจำกัดปริมาณข้อมูลที่สามารถถูกดึงออกมาได้ในแต่ละครั้ง

แต่ในฐานะผู้ใช้เอง เราอาจต้องเพิ่มระดับการระมัดระวังในการใช้งานให้มากขึ้น อย่างเช่น ไม่เปิด หรือแชร์ไฟล์จากแหล่งที่ไม่น่าเชื่อถือ การตรวจสอบสิทธิ์การเข้าถึงของแอปฯ ภายนอกใน Google Drive อย่างสม่ำเสมอ และเลือกใช้แพลตฟอร์ม AI อย่างมีสติ โดยไม่ปล่อยให้ความสะดวกสบายกลายเป็นช่องทางให้ผู้ไม่หวังดีขโมยข้อมูลส่วนตัวไปได้ง่าย ๆ เพราะสุดท้ายแล้ว AI จะปลอดภัยแค่ไหน ก็ขึ้นอยู่กับว่าเราใช้มันยังไงด้วยเช่นกัน