OpenAI'den ChatGPT'ye Güvenlik Takviyesi: Prompt Enjeksiyonuna Karşı Kilit Modu ve Oturum Yönetimi Yazılım

OpenAI'den ChatGPT'ye Güvenlik Takviyesi: Prompt Enjeksiyonuna Karşı Kilit Modu ve Oturum Yönetimi

OpenAI, ChatGPT'ye prompt enjeksiyonuyla veri sızıntısını önleyen Kilit Modu ve oturum takibi için Aktif Oturumlar özelliklerini ekledi.

OpenAI, ChatGPT kullanıcıları için iki yeni güvenlik kontrolü duyurdu. Bunlardan ilki, prompt enjeksiyonu yoluyla veri hırsızlığını önlemeyi amaçlayan Kilit Modu (Lockdown Mode), diğeri ise hesap oturumlarını izlemeye yarayan Aktif Oturumlar (Active Sessions) özelliği. Bu güncellemeler, özellikle hassas verilerle çalışan kullanıcılar ve kuruluşlar için önemli bir güvenlik katmanı sunuyor.

Kilit Modu, ChatGPT'nin web ve harici hizmetlere erişimini sınırlayan isteğe bağlı bir ayar olarak karşımıza çıkıyor. İlk olarak Şubat ayında kurumsal planlara sunulan bu özellik, Haziran başı itibarıyla kişisel ve self-servis iş hesaplarına da açıldı. Özellik, kötü niyetli bir talimatın bir bağlantılı posta kutusundan veri çekmesi veya kullanıcı konuşmalarını sızdırması gibi senaryolara karşı koruma sağlıyor.

Kilit Modu, prompt enjeksiyonunun kendisini engellemek yerine, saldırganın çalıntı verileri dışarı göndermek için kullanacağı giden ağ isteklerini tıkıyor. Enjekte edilen metin modele ulaşsa da, veri sızıntısı kanalı kesilmiş oluyor. Güvenlik uzmanı Simon Willison, bu yaklaşımı 'pratik ve etkili' olarak nitelendirirken, özelliğin varlığının varsayılan ChatGPT'nin veri sızıntısını tamamen engelleyemediğini de gösterdiğini belirtiyor.

Kilit Modu'nun bir bedeli var: canlı bağlantı erişimi ve yazma işlemleri devre dışı kalıyor. Bu da Finans aracı ve alışveriş asistanları gibi özellikleri yanı sıra Geliştirici Modu'nu da kullanılamaz hale getiriyor. OpenAI, bu özelliği genel kullanıcı kitlesinden ziyade hassas verilerle çalışan kullanıcı ve kuruluşlara yönelik olarak konumlandırıyor.

Uzmanların Görüşleri

İkinci güvenlik kontrolü olan Aktif Oturumlar, ChatGPT'nin güvenlik ayarlarına oturum yönetimi ekliyor. Kullanıcılar, hesaplarının hangi cihazlarda oturum açtığını denetleyebiliyor. Her giriş için cihaz/tarayıcı bilgileri, yaklaşık konum ve oturum açma zamanı, hangi birinci taraf uygulamanın kullanıldığı (ChatGPT veya Codex gibi) ve güvenilir cihaz olup olmadığı gibi bilgiler görüntülenebiliyor.

Detaylar ve Etkileri

Kullanıcılar, tek bir oturumu sonlandırabileceği gibi tüm oturumları da kapatabiliyor. Ancak tam oturum kapatma işlemi 30 dakikaya kadar sürebiliyor. Tanımadıkları bir oturum gören kullanıcılara, şifre değiştirme, giriş yöntemlerini gözden geçirme ve destek ekibiyle iletişime geçme tavsiyesi veriliyor. Önemli bir eksiklik ise bu özelliğin SAML ve OpenID Connect dahil tek oturum açma (SSO) kullanan hesaplarda kullanılamaması ve üçüncü taraf uygulama oturumları ile Codex CLI girişlerini takip etmemesi.

Kaynak: infosecurity-magazine.com

Paylaş: