Mac版ChatGPT、ユーザーとのやり取りをプレーンテキストで保存していた

Mac版の公式なChatGPTアプリがリリースされたと先日伝えられましたが、このアプリにはとんでもないセキュリティホールがあったようです。問題はすでにアップデートで修正されたとのことですが、アプリはユーザーとのやり取りをすべてプレーンテキストで保存していたそうです。

アプリ外のテキストウィンドウに簡単にコピペ可能

Appleの開発者ツールの一つである「App Sandbox」を使うと、攻撃者がアプリを介してプラットフォームの機能を悪用する範囲を制限することができます。

開発者のペドロ・ジョゼ・ペレイラ・ヴィエイト氏は、Mac版ChatGPTアプリでこのツールが使用されていないことに気づき、「だったらどこでユーザーデータを保存しているのだろう」と思い調べたところ、ユーザーとのやり取りがローカル環境でプレーンテキストとして保存されていることがわかったそうです。

ペレイラ・ヴィエイト氏は脆弱性を証明するため、「ChatGPTStealer」を開発し、アプリ外のテキストウィンドウにChatGPT内の会話を簡単に読み込める様子を動画にして公開しています。

Post by @pvieito

View on Threads

脆弱性はすでに修正済み

OpenAIが米メディアThe Vergeに回答したところによれば、Mac版ChatGPTの脆弱性はすでに修正されており、暗号化が行われるようになったとのことです。

アプリはMac App Storeでは配布されていないため、AppleのSandbox要件に従う義務はありませんが、もう少ししっかりしてほしいというのが本音です。

Source: The Verge via MacRumors

Photo: @OpenAI/X