На днях в приложении ChatGPT для macOS, выпущенном OpenAI, была обнаружена серьезная уязвимость: записи чатов хранились в открытом виде. Это означало, что злоумышленники или вредоносные приложения, получив доступ к компьютеру пользователя, могли легко прочитать разговоры с ChatGPT и данные, содержащиеся в них.
Как продемонстрировал Перейра Виейто (@pvieito) в соцсети Threads, доступ к этим данным был настолько простым, что любое приложение могло получить к ним доступ и показать текст разговоров сразу после их завершения. Перейра Виейто разработал собственное приложение, которое он показал редакции The Verge, продемонстрировав, как легко можно читать чаты ChatGPT всего одним нажатием кнопки. Редакция также смогла найти файлы на компьютере и просмотреть текст разговоров, просто изменив имя файла.
После того как редакция The Verge обратилась к OpenAI с вопросом об этой проблеме, компания выпустила обновление, которое теперь шифрует все локально хранимые записи чатов.
«Мы осведомлены о данной проблеме и выпустили новую версию приложения, которая шифрует эти разговоры», — заявила представитель OpenAI Тая Кристиансон в заявлении для The Verge. «Мы стремимся обеспечивать удобный пользовательский опыт при соблюдении высоких стандартов безопасности по мере развития наших технологий».
После установки обновления ChatGPT для Mac, приложение Перейры Виейто перестало работать, и редакция The Verge не смогла видеть чаты в открытом виде.
Перейра Виейто рассказал, что обнаружил проблему, потому что был заинтересован, почему OpenAI отказалась от использования защиты песочницы приложения, и решил проверить, где хранятся данные приложения. OpenAI предлагает приложение ChatGPT для macOS только через свой собственный веб-сайт, что означает, что приложение не обязано следовать требованиям Apple по песочнице, которые применяются к программам, распространяемым через Mac App Store.
Следует отметить, что если пользователи не отказались от этого, OpenAI может просматривать их чаты с ChatGPT для "обеспечения безопасности" и обучения своих моделей.
Угрозы безопасности
• Исследователи раскрыли сеть вредоносных расширений для Firefox
• 2,3 миллиона установок: 18 расширений для Chrome и Edge содержали вредоносный код
• Почтовый клиент Evolution для Linux сливает данные — даже при включенных настройках защиты
• Фальшивый переустановщик Windows требует оплату для разблокировки
• Поддельные криптокошельки массово проникают в магазин Firefox Add-ons и крадут средства пользователей
• «Доктор Веб»: Во II квартале 2025 года выросло число атак банковских троянов и целевых шпионов для Android