NVIDIAのAIチャットボット「ChatRTX」(旧称「Chat with RTX」)は、ChatRTX 0.2およびそれ以前のすべてのバージョンにおいて深刻なセキュリティ脆弱性を抱えていることが明らかになりました。幸いなことに、NVIDIAの直接ダウンロードページから入手できる最新バージョンのChatRTX 0.2では、これらの問題が直ちに修正されています。ChatRTXは、NVIDIAのChatGPTスタイルのソフトウェアで、検索拡張生成(RAG)とNVIDIAのTensort-RT LLMソフトウェア、そしてRTXアクセラレーションを組み合わせることで、ユーザーが自身の個人データを使ってチャットボットを学習できるようにします。
具体的な脆弱性は、業界標準のCWE(共通脆弱性列挙)システムによって、クロスサイトスクリプティング攻撃(CWE-79)と不適切な権限管理攻撃(CWE-269)として識別されています。どちらもUIの脆弱性であり、攻撃者に本来アクセスできないアクセスを許してしまいます。CWE-79は、コード実行、サービス拒否、潜在的なサービス拒否攻撃に該当します。一方、CWE-269は、権限昇格、情報漏洩、データ改ざん攻撃に該当します。
リモートコード実行は、ハードウェアまたはソフトウェアにとって最も危険な脆弱性の一つとして悪名高い脆弱性です。攻撃者がシステム上でほぼあらゆるもの(キーロガー、トラッカーなど)を実行できるようになるためです。これは、ブラウザスクリプトに特化したCWE-79の脆弱性に相当します。
CWE-269の脆弱性によって顕在化するもう一つの深刻なサイバー攻撃形態は「権限昇格」です。これは、攻撃者が実質的にシステムとそのファイルに対する管理者権限を自身に付与する行為です。これはそれ自体非常に危険ですが、CWE-79の脆弱性が存在する場合、その危険性はさらに増大します。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
クリストファー・ハーパーは、2015年からPCハードウェアとゲームを専門とするフリーランスのテクニカルライターとして活躍しています。それ以前は、高校時代に様々なB2Bクライアントのゴーストライターを務めていました。仕事以外では、友人やライバルには、様々なeスポーツ(特に格闘ゲームとアリーナシューティングゲーム)の現役プレイヤーとして、またジミ・ヘンドリックスからキラー・マイク、そして『ソニックアドベンチャー2』のサウンドトラックまで、幅広い音楽の愛好家として知られています。
