El investigador de seguridad Johann Rehberger ha expuesto una vulnerabilidad grave en ChatGPT que podría permitir a los atacantes registrar datos incorrectos junto con instrucciones perniciosas en la configuración de un usuario para la memoria a largo plazo. Después de informar la falla a OpenAI, Rehberger notó que la compañía inicialmente la descartó como un problema de seguridad en lugar de un problema de seguridad. Después de que Rehberger mostrara una vulnerabilidad grave en ChatGPT, Rehberger advirtió que la compañía inicialmente la descartó como un problema de seguridad en lugar de un problema de seguridad. Explotación de prueba de concepto (PoC) que usaban la vulnerabilidad para filtrar permanentemente toda la información del usuario, los ingenieros de OpenAI se dieron cuenta y lanzaron una solución parcial a principios de este mes.
Explotación de la memoria a largo plazo
Según Arstechnica, Rehberger encontró que puedes alterar la memoria a largo plazo de ChatGPT mediante la inyección indirecta de indicaciones. Este método permite a los atacantes insertar memorias o direcciones falsas en material no confiable, como correos electrónicos subidos, entradas de blogs o documentos.
La prueba de concepto de Rehberger demostró que engañar a ChatGPT para que abriera un enlace web malicioso le permitió al atacante tener control total sobre la captura y el envío de todas las entradas de usuario posteriores y las respuestas de ChatGPT a un servidor que controlaba. Rehberger demostró cómo el exploit podría hacer que ChatGPT guardara información falsa, incluida la creencia de que un usuario tenía 102 años y vivía en Matrix, lo que afectaba a todas las conversaciones futuras.
La respuesta de OpenAI y los riesgos que persisten
OpenAI respondió inicialmente al informe de Rehberger cerrándolo y clasificando la vulnerabilidad como un asunto de seguridad en lugar de un problema de seguridad. Después de compartir la prueba de concepto, la empresa publicó un parche para evitar que el exploit funcione como un vector de exfiltración. Aun así, Rehberger señaló que el problema fundamental de las inyecciones rápidas sigue sin resolverse. Si bien se abordó la estrategia explícita para el robo de datos, los actores manipuladores aún podrían influir en el instrumento de memoria para incorporar datos inventados en la configuración de memoria a largo plazo de un usuario.
Rehberger señaló en la demostración en video: «Lo que es particularmente intrigante es que este exploit persiste en la memoria. La inyección rápida integró con éxito la memoria en el almacenamiento a largo plazo de ChatGPT, e incluso cuando comienza un nuevo chat, no deja de exfiltrar datos.
Gracias a la API lanzada el año pasado por OpenAI, este método de ataque específico no es posible a través de la interfaz web ChatGPT.
¿Cómo protegerse de los ataques de memoria a ChatGPT (o LLM)?
Los que utilizan Máster en Derecho Se recomienda a quienes deseen mantener seguras sus interacciones con ChatGPT que estén atentos a las actualizaciones del sistema de memoria durante sus sesiones. Los usuarios finales deben verificar y prestar atención constantemente a las memorias archivadas para detectar contenido sospechoso. Los usuarios reciben orientación de OpenAI sobre cómo administrar estas configuraciones de memoria y, además, pueden decidir desactivar la función de memoria para eliminar estos posibles riesgos.
Gracias a las capacidades de memoria de ChatGPT, los usuarios pueden ayudar a proteger sus datos de posibles ataques manteniéndose alertas y tomando medidas de antemano.
