พบช่องโหว่บน EmailGPT ที่ทำให้แฮกเกอร์เข้าถึงข้อมูลอ่อนไหวสุดอันตราย!

การใช้งาน AI หรือ ปัญญาประดิษฐ์ เพื่อเข้ามาช่วยในการทำงานนั้น ได้กลายมาเป็นที่นิยมในยุคปัจจุบันเนื่องมาจากความรวดเร็วในการประมวลผล การแปลงสารออกมาเป็นสื่อที่รวดเร็วเข้าใจง่าย รวมไปถึงความสามารถในการช่วยเหลืออื่น ๆ เช่น การเขียนโค้ด หรือแม้แต่การช่วยเขียนอีเมล ซึ่งทางผู้พัฒนาก็ได้ส่งเครื่องมือสนับสนุนเฉพาะทางออกมาให้ผู้ใช้งานมากมาย อย่างเช่น EmailGPT ที่มีนักพัฒนานำ APIs ของ ChatGPT มาประยุกต์สร้างเครื่องมือช่วยเขียนอีเมล ในรูปแบบของ Chrome Extension

อย่างไรก็ตาม แม้ทางผู้พัฒนาจะมีการจำกัดความสามารถให้อยู่ในขอบเขตความปลอดภัยแล้ว แต่ก็ยังมีจุดอ่อนให้แฮกเกอร์สามารถนำไปใช้ประโยชน์สำหรับการล้วงข้อมูลสำคัญได้อย่างน่าเหลือเชื่อ

จากรายงานโดยเว็บไซต์ Cyber Security News ได้มีการตรวจพบช่องโหว่ของแอปพลิเคชัน EmailGPT ซึ่งเป็นเครื่องมือช่วยเหลือสำหรับการเขียนอีเมลต่าง ๆ โดยผลิตภัณฑ์นี้นั้นทำงานในรูปแบบของปลั๊กอินบนเว็บเบราว์เซอร์ Chrome รวมไปถึงรองรับการใช้ API เพื่อทำงานร่วมกับซอฟต์แวร์ด้านอีเมลอื่น ๆ ด้วย ซึ่งช่องโหว่ความปลอดภัยได้ถูกระบุภายใต้ชื่อ CVE-2024-5184 โดยช่องโหว่นี้นั้นจะเปิดช่องให้แฮกเกอร์ซึ่งใช้งาน EmailGPT ผ่าน API ใช้เทคนิคการทำ Prompt injection ซึ่งเป็นรูปแบบหนึ่งในการทำเจลเบรก (Jailbreak) ตัวระบบ เพื่อสั่งการให้ตัว AI ให้ข้อมูลที่ตามปกติถูกจำกัดการเข้าถึงไว้ได้ ไม่ว่าจะเป็น ข้อมูลของผู้ใช้งานรายอื่น ข้อมูลด้านทรัพย์สินทางปัญญา หรือแม้แต่การนำไปใช้ช่วยในการทำ DoS (Denial-of-Service)

จากรายงานข่าวนั้น ยังไม่ปรากฏว่าทางทีมพัฒนา EmailGPT นั้น มีความเห็นอย่างไรเกี่ยวกับประเด็นที่เกิดขึ้น หรือได้มีการแก้ไขอุดรอยรั่วแล้วหรือยัง ดังนั้น ขอให้ผู้ใช้งานระมัดระวังในการป้อนข้อมูลที่มีความอ่อนไหวสูง เช่น ข้อมูลด้านการเงินของบริษัท หรือ ข้อมูลความลับทางการค้า โดยทีมทำงานควรเขียนเองดีที่สุด เพื่อป้องกันข้อมูลรั่วไหลจากข้อผิดพลาดที่ไม่คาดฝันเช่นนี้ ซึ่งไม่มีใครสามารถรับประกันได้ว่า นอกจากข้อมูลข้างต้นที่กล่าวมาแล้ว ข้อมูลของบริษัททั้งหลายที่ป้อนเข้าไปจะหลุดไปถึงผู้อื่นหรือไม่