در دنیای پیشرفته فناوری، ابزارهای هوش مصنوعی مانند چتجیپیتی با قابلیتهای جدید خود، زندگی روزمره ما را آسانتر کردهاند. اما آیا این ابزارهای هوشمند میتوانند به پاشنه آشیل امنیت دیجیتال ما تبدیل شوند؟ به گزارش ایروتایم – irotime، یک محقق امنیتی به نام ایتو میامورا اخیراً هشداری جدی درباره آسیبپذیری جدیدی در اتصال تقویم گوگل به چتجیپیتی منتشر کرده است. این تهدید نشان میدهد که چگونه یک دعوتنامه تقویمی مخرب میتواند اطلاعات حساس ایمیلهای کاربران را به خطر بیندازد.
خطر پنهان در دعوتنامههای تقویمی
چگونه یک دعوتنامه میتواند چتجیپیتی را فریب دهد؟
محققان امنیتی کشف کردهاند که هکرها میتوانند با ارسال یک دعوتنامه تقویمی حاوی دستورات مخرب، چتجیپیتی را به انجام اقدامات غیرمجاز وادار کنند. این تکنیک که به “تزریق غیرمستقیم دستور” معروف است، از قابلیت جدید چتجیپیتی برای اتصال به سرویسهای گوگل مانند جیمیل و تقویم بهره میبرد. کافی است کاربر به چتجیپیتی اجازه دسترسی به تقویم خود را بدهد و سپس با پرسوجویی ساده مانند «امروز در تقویم من چه چیزی ثبت شده؟»، دستورات مخفی در دعوتنامه اجرا شوند. این دستورات میتوانند چتجیپیتی را وادار به جستوجو در ایمیلها و افشای اطلاعات حساس کنند.
نقش پروتکل زمینه مدل (MCP) در این تهدید
در تاریخ ۱۲ سپتامبر ۲۰۲۵، شرکت اوپنایآی پشتیبانی کامل از پروتکل زمینه مدل (MCP) را به چتجیپیتی اضافه کرد. این قابلیت به چتجیپیتی امکان میدهد تا بهطور خودکار به منابع خارجی مانند تقویم گوگل، جیمیل یا حتی ابزارهایی مانند شیرپوینت و نوشن متصل شود. اگرچه این ویژگی برای راحتی کاربران طراحی شده، اما به گفته میامورا، میتواند به ابزاری برای سوءاستفاده هکرها تبدیل شود. تنها چیزی که یک هکر نیاز دارد، آدرس ایمیل قربانی است.
راههای محافظت در برابر این تهدید
تنظیمات امنیتی تقویم گوگل را تغییر دهید
برای کاهش خطر، کاربران میتوانند تنظیمات تقویم گوگل خود را بهگونهای تغییر دهند که دعوتنامهها بهطور خودکار به تقویم اضافه نشوند. این کار را میتوان از طریق گزینه «اضافه کردن خودکار دعوتنامهها» در تنظیمات تقویم گوگل انجام داد. توصیه میشود:
- فقط دعوتنامههای ارسالی از افراد شناختهشده نمایش داده شوند.
- دعوتنامههای ردشده از تقویم مخفی شوند.
- مدیران گوگل ورکاسپیس میتوانند تنظیمات پیشفرض ایمنتری برای سازمان خود اعمال کنند.
غیرفعال کردن اتصال خودکار در چتجیپیتی
اوپنایآی به کاربران اجازه میدهد تا اتصال خودکار به منابع گوگل را در تنظیمات چتجیپیتی غیرفعال کنند. با این کار، کاربران میتوانند بهصورت دستی انتخاب کنند که چتجیپیتی به کدام منابع دسترسی داشته باشد، که این امر خطر اجرای دستورات مخرب را کاهش میدهد.
چرا هوش مصنوعی در برابر این حملات آسیبپذیر است؟
ابزارهای هوش مصنوعی مانند چتجیپیتی برای پردازش دادههای ورودی طراحی شدهاند، اما اگر این دادهها حاوی دستورات مخرب باشند، ممکن است بهطور ناخواسته آنها را اجرا کنند. این مشکل در دیگر پلتفرمهای هوش مصنوعی، مانند جمینای گوگل، نیز مشاهده شده است. در آگوست گذشته، محققان نشان دادند که دعوتنامههای تقویمی مخرب میتوانند جمینای را به کنترل دستگاههای هوشمند خانگی و افشای اطلاعات وادار کنند. این تهدیدات نشاندهنده یک چالش بزرگتر در اکوسیستم ابزارهای هوش مصنوعی است: افزایش سطح حمله با گسترش اتصالات به منابع خارجی.
توصیههای تخصصی برای کاربران
بهعنوان یک کارشناس حوزه هوش مصنوعی، توصیه میکنم که کاربران در استفاده از ابزارهای متصل به هوش مصنوعی محتاط باشند. این ابزارها اگرچه کارآمد و قدرتمند هستند، اما میتوانند به دلیل اتصال به منابع خارجی، در برابر حملات سایبری آسیبپذیر شوند. در این راستا:
- محدود کردن دسترسیها: فقط به ابزارهایی اجازه دسترسی به حسابهای گوگل خود بدهید که کاملاً به آنها اعتماد دارید.
- بررسی دعوتنامهها: پیش از پذیرش هر دعوتنامه تقویمی، فرستنده را بررسی کنید.
- بهروزرسانی تنظیمات امنیتی: بهطور مرتب تنظیمات امنیتی حسابهای خود را بازبینی کنید.
پرسشهای متداول
آیا چتجیپیتی هک شده است؟
خیر، چتجیپیتی هک نشده است. این تهدید به دلیل آسیبپذیری در نحوه پردازش دادههای ورودی توسط هوش مصنوعی ایجاد میشود و با تنظیمات مناسب قابل پیشگیری است.
چگونه میتوانم از ایمیلهایم محافظت کنم؟
با غیرفعال کردن اتصال خودکار در چتجیپیتی و تنظیم تقویم گوگل برای عدم پذیرش خودکار دعوتنامهها، میتوانید خطر را به حداقل برسانید.
آیا این مشکل فقط برای چتجیپیتی است؟
خیر، هر ابزار هوش مصنوعی که به منابع خارجی متصل میشود، در صورت عدم وجود محافظتهای کافی، میتواند در برابر تزریق غیرمستقیم دستور آسیبپذیر باشد.
