ChatGPT 1項範例程式使用的物件儲存服務MinIO有資訊外洩漏洞

安全研究人員發現，OpenAI ChatGPT範例程式使用的物件儲存服務MinIO存在資訊洩露漏洞，可能導致企業環境參數資訊外洩。更糟的是，這漏洞已出現被濫用的情形。

上個月OpenAI宣布讓ChatGPT支援外掛，可讓開發人員為這個AI模型加入網際網路的即時資料。OpenAI表示這項功能秉持核心設計原則相同的安全等級開發，確保存取資訊的安全與隱私。

不過安全廠商GrayNoise研究人員發現，OpenAI提供的其中一項範例程式所使用的物件儲存MinIO 2022年3月17日版本的Docker映像檔有漏洞。該漏洞為CVE-2023-28432，可能導致所有環境參數，包括MINIO_SECRET_KEY及MINIO_ROOT_PASSWORD外流。

MinIO是許多企業及開發人員愛用的多雲物件儲存框架，它相容於AWS S3的API，使用AWS S3物件儲存服務的用戶在本地端也可以用MinIO開發測試。

根據美國國家漏洞資料庫，CVE-2023-28432這項資訊洩露漏洞影響MinIO 2019-12-17T23-16-33Z以後版本，直到今年3月20日MinIO釋出最新補好漏洞的版本（2023-03-20T20-16-18Z）。使用有漏洞MinIO的叢集中，MinIO會回傳給攻擊者所有環境參數，包括登入憑證有關的參數MINIO_SECRET_KEY及MINIO_ROOT_PASSWORD外洩，導致資訊洩露，所有分散式環境的用戶都會受影響。本漏洞CVSS 3.1風險值為7.5，屬高風險漏洞。

研究人員說，目前沒有跡象顯示有任何特定攻擊者已鎖定ChatGPT使用的範例執行個體，但是的確觀察到網路上已經有積極濫用活動。研究人員警告，若攻擊者大規模尋找及濫用有漏洞的MinIO服務，許多服務都將曝險，包括任何已部署、使用舊版MinIO的ChatGPT外掛。

這漏洞沒有緩解方式，因此研究人員呼籲用戶應升級到安全的版本，並整合像是dock-cli-scan，或使用GitHub內建的監控等安全工具來防範供應鏈漏洞。