Google Chrome 瀏覽器擴展 EmailGPT 曝出高危零日漏洞。

EmailGPT 是 Google Chrome 的流行擴展程序，通過使用 OpenAI 公開提供的人工智能模型，幫助其用戶在 Gmail 服務上撰寫電子郵件（用戶向該服務提供原始數據和上下文，接收人工智能反饋的內容，以此撰寫電子郵件）。然而，最近的一項研究發現，該服務存在一個高危安全漏洞。

據悉，安全漏洞由 Synopsys 網絡安全研究中心的專家發現并上報，追蹤為 CVE-2024-5184（CVSS 得分為 6.5），是一個 "提示注入 "類型的漏洞，允許威脅攻擊者操縱服務并盜取敏感信息，可能引發知識產權泄露、拒絕服務和大額經濟損失。

CVE-2024-5184 安全漏洞的存在，使得 EmailGPT 在使用 API 服務時，可能會允許威脅攻擊者注入第三方提示并操縱服務邏輯，導致泄露系統提示或執行不需要的命令。例如，威脅攻擊者可以創建一個嵌入不需要的功能的提示，從而進行數據”挖掘“、使用被入侵的賬戶發送垃圾郵件或者為郵件列表創建誤導性內容。

Synopsys 方面表示，網絡安全研究人員在公布 CVE-2024-5184 安全漏洞詳細信息之前聯系了 EmailGPT 的開發人員，但目前尚未收到任何回復。鑒于當下還沒有辦法緩解該安全漏洞，Synopsys 建議有關用戶應立即從瀏覽器中刪除 EmailGPT。

SlashNext 電子郵件安全公司首席執行官 Patrick Harr 強調，必須對人工智能模型進行嚴格管理并實施額外的安全措施，以防止安全漏洞及其后續利用。此外，對于一些將人工智能整合到業務流程中的公司，更應該要求人工智能模型供應商提供真正的安全證明，避免安全事件的發生。

參考文章：https://www.itsec.ru/news/rasshireniye-emailgpt-dlia-pochti-google-soderzhit-neispravlennuyu-0day-uyazvimost