No lo endulcemos: cada vez que chateas con un modelo de lenguaje, estás poniendo en juego tus datos personales. Pero según un CABLEADO artículo, se volvió mucho más riesgoso. Un grupo de investigadores de la Universidad de California en San Diego (UCSD) y la Universidad Tecnológica de Nanyang en Singapur han descubierto un nuevo ataque que podría convertir una conversación informal en el tesoro de un hacker.
Conoce al improvisador
Este nuevo ataque, siniestramente llamado Imprompter, no sólo hurga en tus mensajes: se cuela, raspa todo, desde tu nombre hasta los detalles de pago, y lo envía directamente a un hacker sin que te des cuenta. ¿Cómo? Disfrazando instrucciones maliciosas como galimatías que parecen inofensivas a los ojos humanos pero que actúan como una baliza de localización de datos confidenciales. Piense en ello como el primo mucho más astuto del malware.
De acuerdo a CABLEADOlos investigadores lograron probar este ataque en dos modelos de lenguaje principales: LeChat de Mistral AI y ChatGLM de China, y descubrieron que podían extraer datos personales con una tasa de éxito de casi el 80 por ciento. Eso no es sólo un problema técnico; es una vulnerabilidad total.
¿Cómo funciona Imprompter?
Imprompter funciona transformando simples instrucciones en inglés en una cadena indescifrable de caracteres aleatorios que le indica a la IA que busque su información personal. Luego devuelve estos datos al servidor del atacante, empaquetados en una URL y disfrazados detrás de un píxel transparente de 1×1, completamente invisible para usted.
Como dijo Xiaohan Fu, autor principal de la investigación: «Ocultamos el objetivo del ataque a plena vista». La IA responde al mensaje oculto sin avisar al usuario. Es como darle el código de la bóveda de un banco a un ladrón sin darte cuenta de que has abierto la boca.
No pretendamos que se trate de una cuestión aislada. Desde que ChatGPT de OpenAI irrumpió en escena, la carrera para explotar las vulnerabilidades en los sistemas de IA ha sido implacable. Desde jailbreaks hasta inyecciones rápidas, los piratas informáticos siempre están un paso por delante y encuentran formas de engañar a las IA para que divulguen información confidencial. Imprompter es sólo la última arma de su arsenal y, desafortunadamente, es particularmente efectiva.
Mistral AI le dijo a WIRED que ya solucionaron la vulnerabilidad y los investigadores confirmaron que la compañía deshabilitó la función de chat que permitía el exploit. Pero incluso con esta solución rápida, la pregunta más amplia sigue siendo: ¿qué tan seguros son realmente estos sistemas?
La IA escucha y aprende
Expertos en seguridad como Dan McInerney, de Protect AI, están ondeando la bandera roja. Señala que a medida que los agentes de IA se integren más en las tareas cotidianas, como reservar vuelos o acceder a bases de datos externas, el alcance de estos ataques no hará más que crecer. «Liberar a un agente de LLM que acepte entradas arbitrarias del usuario debe considerarse una actividad de alto riesgo», advierte McInerney. En otras palabras, cuanta más libertad le demos a la IA para que actúe en nuestro nombre, mayor será el riesgo de seguridad.
Cada vez que chateas con un modelo de lenguaje, está aprendiendo algo sobre ti. Claro, ayuda a refinar las respuestas, pero ¿qué sucede cuando se engaña al sistema para que utilice esos datos como arma? Ataques como Imprompter resaltan una debilidad evidente en el mundo de la IA: estos modelos están diseñados para seguir instrucciones, sin hacer preguntas. Es muy fácil para los actores malintencionados pasar desapercibidos y secuestrar la conversación sin siquiera levantar una señal de alerta.
Necesitamos dejar de preguntarnos si la IA es conveniente y empezar a preguntarnos si es segura. Porque en este momento, la mayor debilidad de la IA no es la falta de innovación.
Como lo expresa perfectamente Architects en su canción: «Les hemos dado a los vampiros las llaves del banco de sangre».
Créditos de imagen: Kerem Gülen/A mitad del viaje
