Якщо найновіші генеративні моделі ШІ можна легко підключити до особистих даних, з метою персоналізованих відповідей на запитання, тоді ці зв’язки можуть бути зловживані – достатньо лише один “заражений” документ. Про це повідомляє звіт дослідників безпеки на хакерській конференції Black Hat у Лас-Вегасі, передають Wired та УНН.
У OpenAI виявлено вразливість – ідеться про нюанси у Connectors, що дозволяє підключати ChatGPT до інших сервісів. “Один заражений документ може виточити “секретні” дані через ChatGPT”, – кажуть дослідники безпеки Майкл Баргурі та Таміра Ішая Шарбата у своєму звіті.
Вказується, що саме “слабкість “у конекторах OpenAI дозволила витягти конфіденційну інформацію з облікового запису Google Диска за допомогою атаки непрямого впровадження запиту.
У демонстрації атаки, що отримала назву AgentFlayer, Баргурі показує, як можна було витягти секрети розробника у вигляді ключів API, які зберігалися в демонстраційному обліковому записі Диска.- передає Wired.
До речі, витягувати дані з Google Drive начебто можна без будь-якої взаємодії з користувачем, додають фахівці.
Користувачеві не потрібно нічого робити, щоб його дані були скомпрометовані, і йому не потрібно нічого робити, щоб дані були викрадені”, — розповідає WIRED Баргурі, технічний директор компанії Zenity, що спеціалізується на безпеці. “Ми продемонстрували, що це відбувається абсолютно без жодних кліків; нам потрібна лише ваша електронна адреса, ми ділимося з вами документом, і все. Тож так, це дуже, дуже погано- каже Баргурі.
OpenAI представила Connectors для ChatGPT як бета-функцію на початку 2025 року. На веб-сайті OpenAI перелічено щонайменше 17 різних сервісів, які можна пов’язати з її обліковими записами. Це пояснюється так:
Система дозволяє перенести ваші інструменти та дані в ChatGPT і шукати файли, отримувати дані в режимі реального часу та посилатися на вміст прямо в чаті
Важливо зазначити, що після повідмлення про вразливість, компанія швидко вжила заходів для запобігання використанню техніки, яку застосовував дослідник (ідеться про Майкл Баргурі) для вилучення даних через Connectors.
Механізм атаки передбачає, що одночасно можна вилучити лише обмежену кількість даних — повні документи не можуть бути вилучені в рамках атаки.
