Badacz ds. bezpieczeństwa Johann Rehberger ujawnił poważną lukę w zabezpieczeniach ChatGPT, która może pozwolić atakującym na rejestrowanie nieprawidłowych danych wraz ze szkodliwymi instrukcjami w ustawieniach użytkownika dotyczących pamięci długoterminowej. Po zgłoszeniu luki do OpenAI Rehberger zauważył, że firma początkowo odrzuciła ją jako kwestię bezpieczeństwa, a nie jako problem bezpieczeństwa. Po tym, jak Rehberger pokazał eksploatacja dowodu koncepcji (PoC) inżynierowie z OpenAI, którzy wykorzystali tę lukę w zabezpieczeniach, aby trwale wykraść wszystkie dane wprowadzane przez użytkowników, dowiedzieli się o tym i na początku tego miesiąca udostępnili częściową poprawkę.
Wykorzystanie pamięci długotrwałej
Według Arstechnica, Rehberger znaleziony że możesz zmienić pamięć długoterminową ChatGPT za pomocą pośredniego wstrzykiwania komunikatów. Ta metoda pozwala atakującym osadzać fałszywe wspomnienia lub wskazówki w niezaufanych materiałach, takich jak przesłane wiadomości e-mail, wpisy na blogu lub dokumenty.
PoC Rehbergera wykazał, że oszukanie ChatGPT, aby otworzył złośliwy link internetowy, pozwoliło atakującemu na pełną kontrolę nad przechwytywaniem i wysyłaniem wszystkich kolejnych danych wejściowych użytkownika i odpowiedzi ChatGPT na kontrolowany przez niego serwer. Rehberger wykazał, w jaki sposób eksploit może spowodować, że ChatGPT będzie przechowywał fałszywe informacje, w tym uwierzy, że użytkownik ma 102 lata i żyje w Matrixie, co wpłynie na wszystkie przyszłe dyskusje.
Odpowiedź OpenAI i ciągłe ryzyko
OpenAI początkowo odpowiedziało na raport Rehbergera, zamykając go, klasyfikując lukę jako kwestię bezpieczeństwa, a nie problem bezpieczeństwa. Po udostępnieniu PoC firma wydała poprawkę, aby zapobiec działaniu exploita jako wektora eksfiltracji. Mimo to Rehberger wskazał, że podstawowy problem szybkich wstrzyknięć pozostaje nierozwiązany. Podczas gdy konfrontowano się z wyraźną strategią kradzieży danych, manipulujący aktorzy mogli nadal wpływać na instrument pamięci, aby włączał sfabrykowane dane do ustawień pamięci długoterminowej użytkownika.
Rehberger zauważył w demonstracji wideo: „Szczególnie intrygujące jest to, że ten exploit utrzymuje się w pamięci. Szybka iniekcja pomyślnie zintegrowała pamięć z długoterminowym magazynem ChatGPT, a nawet podczas rozpoczynania nowego czatu nie zaprzestaje eksfiltracji danych.
Dzięki API udostępnionemu w zeszłym roku przez OpenAI, ta konkretna metoda ataku nie jest możliwa do przeprowadzenia za pośrednictwem interfejsu internetowego ChatGPT.
Jak chronić się przed atakami na pamięć ChatGPT (lub LLM)?
Ci, którzy korzystają Magister prawa którzy chcą zachować bezpieczeństwo swoich wymian z ChatGPT, zachęcamy do poszukiwania aktualizacji systemu pamięci podczas sesji. Użytkownicy końcowi muszą wielokrotnie sprawdzać i zajmować się zarchiwizowanymi wspomnieniami pod kątem podejrzanych treści. Użytkownicy otrzymują wskazówki od OpenAI dotyczące zarządzania tymi ustawieniami pamięci i mogą dodatkowo zdecydować o wyłączeniu funkcji pamięci, aby wyeliminować te możliwe zagrożenia.
Dzięki możliwościom pamięci ChatGPT użytkownicy mogą chronić swoje dane przed potencjalnymi atakami, zachowując czujność i podejmując zawczasu odpowiednie środki ostrożności.
