AutoJack ದಾಳಿ AI ಏಜೆಂಟ್ಗಳನ್ನು ಬಳಸಿಕೊಳ್ಳುತ್ತದೆ
Microsoft ಸಂಶೋಧಕರು AutoJack ಎಂಬ ಹೊಸ ಭದ್ರತಾ ದೋಷವನ್ನು ಪತ್ತೆಹಚ್ಚಿದ್ದಾರೆ.
ಈ ದೋಷವು AutoGen Studio ನ ಪ್ರಿ-ರಿಲೀಸ್ (pre-release) ಆವೃತ್ತಿಗಳಿಗೆ ಸಂಬಂಧಿಸಿದೆ.
ಒಂದು ದುರುದ್ದೇಶಪೂರಿತ ವೆಬ್पेಜ್ AI ಏಜೆಂಟ್ನ ನಿಯಂತ್ರಣವನ್ನು ಪಡೆಯಬಹುದು. ನಂತರ ಆ ಏಜೆಂಟ್ ನಿಮ್ಮ ಕಂಪ್ಯೂಟರ್ನಲ್ಲಿ ಕೋಡ್ ಅನ್ನು ರನ್ ಮಾಡುತ್ತದೆ.
ಈ ದಾಳಿಯು ಈ ಕೆಳಗಿನಂತೆ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ:
- ಒಂದು AI ಏಜೆಂಟ್ ಕೆಟ್ಟ ವೆಬ್ಸೈಟ್ಗೆ ಭೇಟಿ ನೀಡುತ್ತದೆ.
- ಆ ವೆಬ್ಸೈಟ್ ಸ್ಥಳೀಯ WebSocket ಸೇವೆಯನ್ನು ಬಳಸಿಕೊಳ್ಳುತ್ತದೆ.
- ಏಜೆಂಟ್ localhost ನಲ್ಲಿ ಕಾರ್ಯನಿರ್ವಹಿಸುವುದರಿಂದ, ಸಿಸ್ಟಮ್ ಅದನ್ನು ನಂಬುತ್ತದೆ.
- ಈ ನಂಬಿಕೆಯಿಂದಾಗಿ ವೆಬ್ಸೈಟ್ ಭದ್ರತಾ ತಪಾಸಣೆಗಳನ್ನು ಬೈಪಾಸ್ ಮಾಡಲು ಸಾಧ್ಯವಾಗುತ್ತದೆ.
ಈ ಸಮಸ್ಯೆಯು AutoGen Studio ಆವೃತ್ತಿಗಳು 0.4.3.dev1 ಮತ್ತು 0.4.3.dev2 ಕ್ಕೆ ಅನ್ವಯಿಸುತ್ತದೆ.
ಸ್ಥಿರವಾದ (stable) ಆವೃತ್ತಿ 0.4.2.2 ಸುರಕ್ಷಿತವಾಗಿದೆ.
ನೀವು ડેವಲಪ್ಮೆಂಟ್ ಬಿಲ್ಡ್ಗಳನ್ನು (development builds) ಬಳಸುತ್ತಿದ್ದರೆ, ಈಗಲೇ ನಿಮ್ಮ ಸಾಫ್ಟ್ವೇರ್ ಅನ್ನು ಅಪ್ಡೇಟ್ ಮಾಡಿ. ಇದನ್ನು ಸರಿಪಡಿಸಲು GitHub ನಿಂದ ಲೇಟೆಸ್ಟ್ ಆವೃತ್ತಿಯನ್ನು ಬಳಸಿ.
ಈ ಘಟನೆಯು AI ಭದ್ರತೆಯಲ್ಲಿರುವ ದೊಡ್ಡ ಸಮಸ್ಯೆಯನ್ನು ತೋರಿಸುತ್ತದೆ. ನಾವು ಸಾಮಾನ್ಯವಾಗಿ localhost ನಲ್ಲಿ ಚಲಿಸುವ ಯಾವುದನ್ನಾದರೂ ನಂಬುತ್ತೇವೆ. AI ಏಜೆಂಟ್ಗಳು ವೆಬ್ ಅನ್ನು ಬ್ರೌಸ್ ಮಾಡುವಾಗ, ಈ ನಂಬಿಕೆಯು ಅಪಾಯಕಾರಿಯಾಗುತ್ತದೆ.
ಡೆವಲಪರ್ಗಳು ಕೇವಲ ನಂಬಿಕೆಯ ಮೇಲೆ ಅವಲಂಬಿತವಾಗುವುದನ್ನು ಬಿಡಬೇಕು. ಎಲ್ಲಾ AI ಕ್ರಿಯೆಗಳಿಗಾಗಿ ಬಲವಾದ ಅಥೆಂಟಿಕೇಶನ್ (authentication) ಮತ್ತು ಕಟ್ಟುನಿಟ್ಟಾದ ಕಮಾಂಡ್ ಪಟ್ಟಿಗಳ ಅಗತ್ಯವಿದೆ.
ಐಚ್ಛಿಕ ಕಲಿಕಾ ಸಮುದಾಯ: https://t.me/GyaanSetuAi