En bref
Un attaquant publie un plugin ChatGPT ou un GPT personnalisé avec une description anodine mais des instructions malveillantes à l'intérieur du manifeste / de la spécification OpenAPI ; lorsque les utilisateurs l'invoquent, le plugin peut...
Comment ca fonctionne
Un attaquant publie un plugin ChatGPT ou un GPT personnalisé avec une description anodine mais des instructions malveillantes à l'intérieur du manifeste / de la spécification OpenAPI ; lorsque les utilisateurs l'invoquent, le plugin peut...
Signaux d'alerte
- Pression urgente pour cliquer, payer ou partager des codes immediatement.
- Lien ou expediteur qui ne correspond pas a l'organisation officielle.
- Demande de carte, mot de passe, OTP, signature wallet ou virement.
Que faire
- 1Indices : 1) le plugin demande des portées étendues (navigation, courrier, exécution de code) ; 2) la description du manifeste ne correspond pas à la capacité réelle ; 3) l'auteur du plugin est anonyme / nouveau ; 4) les avis sont rares ou générés par IA ; 5) les réponses incluent des URL / mentions dans la barre latérale pointant vers le domaine de l'attaquant.
Source
ENISA-Threat-Landscape-2024
Source verifiee par Mythos Forensic Team
https://www.enisa.europa.eu/publications/enisa-threat-landscape-2024FAQ
Empoisonnement de manifeste de plugin ChatGPT / GPT store est une vraie arnaque ?
Oui. Traitez le message, l'appel ou la demande de paiement comme suspect jusqu'a verification via un canal officiel.
Quels sont les premiers signaux ?
Pression urgente pour cliquer, payer ou partager des codes immediatement.; Lien ou expediteur qui ne correspond pas a l'organisation officielle.; Demande de carte, mot de passe, OTP, signature wallet ou virement.
Que faire en premier ?
Indices : 1) le plugin demande des portées étendues (navigation, courrier, exécution de code) ; 2) la description du manifeste ne correspond pas à la capacité réelle ; 3) l'auteur du plugin est anonyme / nouveau ; 4) les avis sont rares ou générés par IA ; 5) les réponses incluent des URL / mentions dans la barre latérale pointant vers le domaine de l'attaquant.
LegalAudit peut-il verifier mon cas ?
Oui. Lancez le chat gratuit et collez le message, le lien, l'expediteur ou les details de paiement.