Uwaga na wtyczki! Część z nich to wirusy

Sztuczna inteligencja ułatwia nam życie, ale dla cyberprzestępców stała się nową autostradą do naszych danych.

Eksperci z firmy LayerX Security ujawnili istnienie zorganizowanej kampanii, w ramach której do oficjalnych sklepów z rozszerzeniami trafiło co najmniej 16 złośliwych wtyczek rzekomo „ulepszających” działanie ChatGPT. Jeśli zainstalowaliście jedną z nich, wasze konto może być już w niepowołanych rękach.

Schemat działania oszustów jest podstępny i żeruje na potrzebie wygody. Fałszywe rozszerzenia obiecują dodatkowe funkcjonalności, takie jak gotowe szablony promptów, integrację z wyszukiwarkami czy automatyczne podsumowania tekstów. I choć często faktycznie oferują te funkcje, w tle wykonują brudną robotę. Zainfekowany kod potrafi przechwycić tokeny sesji, co pozwala hakerom na przejęcie konta użytkownika bez konieczności znania hasła.

Stawka jest wyższa, niż może się wydawać. Przejęcie dostępu do ChatGPT to nie tylko utrata historii zabawnych rozmów. Dla wielu firm i pracowników, którzy używają AI do pisania kodu, analizy raportów czy tworzenia strategii, oznacza to wyciek wrażliwych danych przedsiębiorstwa. LayerX wskazuje, że skradzione informacje mogą posłużyć do precyzyjnych ataków socjotechnicznych lub zostać sprzedane na czarnym rynku.

Walka z tym zjawiskiem przypomina grę w kotka i myszkę. Choć Google i inni dostawcy regularnie usuwają zidentyfikowane zagrożenia ze swoich sklepów (jak Chrome Web Store), przestępcy szybko wrzucają nowe wersje pod zmienionymi nazwami, często sztucznie pompując im pozytywne recenzje. To sprawia, że nawet ostrożni użytkownicy mogą wpaść w pułapkę, sugerując się wysoką oceną „przydatnego” narzędzia.

Jak się bronić? Eksperci zalecają radykalny minimalizm. Jeśli wtyczka żąda szerokich uprawnień do „odczytu i zmiany danych na wszystkich stronach”. powinna zapalić się nam czerwona lampka. Warto też regularnie przeglądać listę zainstalowanych dodatków i usuwać te, których pochodzenia nie jesteśmy pewni. Wygoda korzystania z AI nie jest warta ryzyka utraty cyfrowej tożsamości.