Il nuovo chatbot AI di Nvidia, simile a ChatGPT, vittima di gravi vulnerabilità di sicurezza - rilasciata patch urgente per ChatRTX
Le versioni 0.2 e precedenti di ChatRTX presentano queste vulnerabilità , ma l'ultima versione 0.2 con l'ultimo installer le risolve
.webp)
Il nuovo chatbot AI di Nvidia, simile a ChatGPT, è stato vittima di gravi vulnerabilità di sicurezza. È stato rilasciato un aggiornamento urgente per risolvere i problemi di sicurezza in ChatRTX 0.2 e versioni precedenti. Le vulnerabilità permettevano agli attaccanti di eseguire codice dannoso e ottenere privilegi amministrativi. Fortunatamente, Nvidia ha rilasciato un aggiornamento per risolvere questi problemi. Gli utenti sono incoraggiati ad installare l'ultima versione per proteggere i propri dati personali da possibili attacchi.
Nvidia risolve le vulnerabilità di sicurezza nel chatbot AI ChatRTX
Il chatbot AI di Nvidia, noto in precedenza come Chat with RTX, è stato rivelato essere vulnerabile a gravi vulnerabilità di sicurezza nelle versioni 0.2 e precedenti di ChatRTX. Fortunatamente, l'ultima iterazione di ChatRTX 0.2, disponibile dalla pagina di download diretto di Nvidia, affronta immediatamente questi problemi.
ChatRTX è il software di Nvidia in stile ChatGPT che utilizza la generazione aumentata di recupero (RAG) insieme al software Tensort-RT LLM di Nvidia e all'accelerazione RTX per consentire agli utenti di addestrare un chatbot sui propri dati personali.
Le vulnerabilità identificate
Le vulnerabilità specifiche sono identificate dal sistema di enumerazione delle debolezze comuni (CWE) come attacchi di scripting tra siti (CWE-79) e attacchi di gestione dei privilegi impropri (CWE-269). Entrambi sono vulnerabilità dell'interfaccia utente che consentono agli attaccanti di accedere a ciò a cui non dovrebbero avere accesso.
Il rischio di esecuzione remota di codice è uno dei più pericolosi per un pezzo di hardware o software poiché consente agli attaccanti di eseguire praticamente qualsiasi cosa sul sistema. Questo corrisponde alla vulnerabilità CWE-79 affrontata, anche se è specificamente per lo scripting del browser.
Un'altra forma urgente di attacco informatico mostrata dalla vulnerabilità CWE-269 è la 'escalation dei privilegi', che coinvolge un attaccante che si dà essenzialmente i privilegi amministrativi sul sistema e sui suoi file.
La risposta di Nvidia
Fortunatamente, sembra che Nvidia abbia affrontato prontamente questo problema non appena ne è stata a conoscenza, e non ci sono segnalazioni di questi exploit che sono stati effettivamente utilizzati finora. Sapere che un software AI all'avanguardia aveva tali gravi vulnerabilità di sicurezza è giustamente preoccupante, considerando che la sua natura personalizzata avrebbe naturalmente comportato exploit che condividono dati personali.
Con un po' di fortuna, tutti gli utenti interessati avranno applicato questo ultimo aggiornamento di Nvidia ChatRTX prima che queste vulnerabilità possano colpirli. Il software rimane una versione beta per ora, senza una data di rilascio della versione candidata.
