Nowe podatność w ChatGPT ujawnione. Zagrożone dane użytkowników
Autor. Matheus Bertelli/pexels.com/free-to-use
Korzystasz z ChatGPT? Musisz być czujny. Wykryto podatności, które mogą pozwolić atakującym na wykradanie informacji o użytkownikach także z historii czatów. Analiza modelu ujawniła siedem luk bezpieczeństwa.
Zespół badawczy z Tenable wykrył aż 7 podatności w ChatGPT od OpenAI, które mogą narazić użytkowników na kradzież ich danych, w tym informacji zapisanych w pamięci modelu i historii czatów. Te 7 problemów wynika przede wszystkim ze sposobu, w jaki ChatGPT oraz SearchGPT przeglądają, przeszukują sieć oraz odpowiadają na pytania użytkowników.
ChatGPT - gdzie tkwi ryzyko?
W momencie, kiedy użytkownik przekaże modelowi adres URL, to ChatGPT musi odwiedzić tę stronę. Robi to za pomocą funkcji open_url. W trakcie analizy badacze odkryli, że ChatGPT przekazuje sprawdzenie strony do osobnego modelu, czyli SearchGPT, który wykonuje za niego przegląd strony.
Model ten jest uproszczony, nie posiada informacji o użytkowniku, tylko przeszukuje daną stronę. Ta izolacja ma zapewniać ochronę użytkownika przed tzw. „prompt injection”, czyli ukrytymi instrukcjami/poleceniami, które mają oszukać lub zmanipulować modele językowe, aby zrobiły coś, czego normalnie by nie zrobiły.
Tego typu ataki wykorzystuje się właśnie do wyłudzania danych, zmian zachowania modelu czy osłabiania zabezpieczeń. Jak wskazują badacze, ta izolacja między SearchGPT a ChatGPT nie do końca może być bezpieczna.
Prompt injection możliwy na kilka sposobów
Pierwszym sposobem, w jaki można wykorzystać podatność, jest zamieszczenie złośliwych promptów w sekcji komentarzy na blogu czy pod treścią artykułów. SearchGPT może nie rozróżnić instrukcji od treści na stronie i potraktować komentarz jako polecenie. ChatGPT może albo wykorzystać wynik dostarczony przez SearchGPT, lub wykorzystać go do sformułowania odpowiedzi. W tych dwóch przypadkach złośliwy prompt wpłynie na odpowiedź.
„Potencjalny zasięg tej luki jest ogromny, ponieważ atakujący mogliby rozprzestrzeniać złośliwe podpowiedzi w sekcjach komentarzy popularnych blogów i serwisów informacyjnych, narażając na niebezpieczeństwo niezliczonych użytkowników ChatGPT” – tłumaczą badacze Tenable.
Czytaj też
Złośliwe prompty w zaufanych wynikach wyszukiwania
Dla celów tego badania stworzono strony internetowe, które dotyczyły określonej wąskiej tematyki, tak aby po wpisaniu określonego zapytania pojawiały się wysoko w wynikach wyszukiwania Bing i crawlera OpenAI. Na stronach umieszczono złośliwy prompt w taki sposób, aby wyszukiwarki czy narzędzia ChatGPT nie uznały jej za spam lub bezwartościową treść. Złośliwy prompt mógłby być wykorzystany tylko wtedy, kiedy stronę odwiedził SearchGPT. Badacze stwierdzili, że te działania bez problemów dałyby możliwość zadziałania złośliwego promptu.
System przeglądania stron modelu posiada równiez mechanizm bezpieczeństwa, który sprawdza, czy adres URL jest bezpieczny, zanim zostanie otwarty. Niektóre strony są na liście zaufanych. Jak wskazuje Tenable, jedną z takich domen jest własnie Bing.com. ChatGPT automatycznie uznaje go za bezpieczny i nie sprawdza go. Zaufane wyszukiwania z Bing mogą kryć linki przekierowania na dowolne witryny, co pozwala obejść zabezpieczenia i zmylić ChatGPT.
Złośliwy prompt za pomocą jednego kliknięcia
OpenAI udostępniło użytkownikom funkcję zadawania pytań wpisując je w adres URL.
Na przykład: https://chat.openai.com/?q=Jakie+sa+najciekawsze+miejsca+w+Warszawie?
Po kliknięciu w link użytkownik zostanie przekierowany do czatu i uzyska odpowiedź od modelu na zadane pytanie. Jednak jeśli ktoś umieści w linku złośliwy prompt, to kliknięcie linku powoduje, że model otrzymuje tę instrukcję bezpośrednio.
Czytaj też
Złośliwe prompty w kontekście rozmowy
Nawet jeśli udałoby się wrzucić w treści złośliwy prompt, to SearchGPT nie posiada dostępu do danych użytkownika ze względu na jego celowe odizolowanie. Jednak badacze znaleźli sposób, aby to obejść. ChatGPT zapamiętuje kontekst rozmowy z użytkownikiem i przechowuje dane, aby tworzyć kolejne odpowiedzi. W rozmowie z użytkownikiem odpowiedzi mogą pochodzić zarówno od ChatGPT, jak i od SearchGPT. Jeśli w kontekście znajdują się złośliwe prompty wcześniej przekazane w rozmowie przez SearchGPT, to ChatGPT może wykonać polecenie. Zespół określił to jako Conversation Injection.
Ta metoda pozwala również spowodować, że złośliwy prompt zostanie zapisany w pamięci modelu i może być wykorzystywana w przyszłych rozmowach. Wyciek danych lub złośliwe zachowanie nie skończy się tylko na jednej sesji, ale będzie powtarzał się w każdej rozmowie. Model może ujawniać i manipulować dane użytkownika bez konieczności kontaktu z zainfekowaną stroną.
Wszystkie luki zostały zgłoszone do OpenAI i we współpracy z Tenable usunięte. Zespół w dużej mierze przeprowadzał analizę na modelu ChatGPT 4.0. Jednak Tenable zaznacza, „badacze potwierdzili, że kilka […] luk w zabezpieczeniach jest nadal obecnych w ChatGPT 5, a ChatGPT 4o jest nadal dostępny do użytku w zależności od preferencji użytkownika”.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
Cyfrowy Senior. Jak walczy się z oszustami?