Mac版の公式なChatGPTアプリがリリースされたと先日伝えられましたが、このアプリにはとんでもないセキュリティホールがあったようです。問題はすでにアップデートで修正されたとのことですが、アプリはユーザーとのやり取りをすべてプレーンテキストで保存していたそうです。
アプリ外のテキストウィンドウに簡単にコピペ可能
Appleの開発者ツールの一つである「App Sandbox」を使うと、攻撃者がアプリを介してプラットフォームの機能を悪用する範囲を制限することができます。
開発者のペドロ・ジョゼ・ペレイラ・ヴィエイト氏は、Mac版ChatGPTアプリでこのツールが使用されていないことに気づき、「だったらどこでユーザーデータを保存しているのだろう」と思い調べたところ、ユーザーとのやり取りがローカル環境でプレーンテキストとして保存されていることがわかったそうです。
ペレイラ・ヴィエイト氏は脆弱性を証明するため、「ChatGPTStealer」を開発し、アプリ外のテキストウィンドウにChatGPT内の会話を簡単に読み込める様子を動画にして公開しています。
Post by @pvieitoView on Threads
脆弱性はすでに修正済み
OpenAIが米メディアThe Vergeに回答したところによれば、Mac版ChatGPTの脆弱性はすでに修正されており、暗号化が行われるようになったとのことです。
アプリはMac App Storeでは配布されていないため、AppleのSandbox要件に従う義務はありませんが、もう少ししっかりしてほしいというのが本音です。
Source: The Verge via MacRumors
Photo: @OpenAI/X
Source: iPhone Mania
Mac版ChatGPT、ユーザーとのやり取りをプレーンテキストで保存していた