آیا چت جی‌پی‌تی ناخواسته در حال کمک به هکرهاست؟

نورنیوز ـ گروه اجتماعی: یک تیم پژوهشی در زمینه امنیت، آسیب‌پذیری مهمی را در اتصال‌دهنده‌های (Connectors) شرکت اپن‌ای‌آی کشف کرده است که به چت‌جی‌پی‌تی اجازه می‌دهد به سرویس‌های خارجی وصل شود. این نقص امنیتی به هکرها امکان می‌دهد بدون نیاز به هیچ تعامل مستقیم از سوی کاربر، داده‌های حساس را از حساب گوگل درایو استخراج کنند.

نسل جدید مدل‌های هوش مصنوعی مولد دیگر صرفاً به عنوان چت‌بات‌های تولید متن عمل نمی‌کنند؛ بلکه قابلیت اتصال به اطلاعات شخصی کاربران را دارند و پاسخ‌های سفارشی ارائه می‌دهند. برای مثال، چت‌جی‌پی‌تی می‌تواند به سرویس‌هایی مانند جیمیل یا تقویم مایکروسافت دسترسی پیدا کند. اما این قابلیت اتصال ممکن است به سو استفاده منجر شود؛ محققان نشان داده‌اند که تنها ارسال یک سند آلوده برای انجام این حمله کفایت می‌کند.

مایکل بارگوری در جریان کنفرانس امنیتی بلک‌هت در لاس‌وگاس، جزئیات این آسیب‌پذیری را تشریح کرد. او با بهره‌گیری از روشی به نام حمله تزریق غیرمستقیم فرمان (Indirect Prompt Injection) که AgentFlayer نام دارد، نحوه استخراج اطلاعات محرمانه مانند کلیدهای API از یک حساب گوگل درایو را نشان داد.

بارگوری تاکید کرد: «کاربر در روند سرقت یا افشای اطلاعات خود هیچ نقشی ندارد. ما اثبات کردیم که این حمله کاملاً بدون نیاز به کلیک کردن انجام می‌شود؛ کافی است فقط ایمیل کاربر را داشته باشیم و یک سند آلوده را با او به اشتراک بگذاریم.»

شرکت اپن‌ای‌آی اوایل سال جاری میلادی (دی-بهمن ۱۴۰۳) قابلیت اتصال‌دهنده‌ها را به صورت آزمایشی برای چت‌جی‌پی‌تی عرضه کرد. این امکان به کاربران اجازه می‌دهد تا دست‌کم به ۱۷ سرویس مختلف متصل شوند. این سیستم به کاربران کمک می‌کند داده‌ها و ابزارهای خود را به چت‌جی‌پی‌تی وارد کرده، فایل‌ها را جستجو کنند و به اطلاعات به‌روزرسانی‌شده دسترسی داشته باشند.

نحوه اجرای حمله به این شکل است که ابتدا یک سند آلوده به گوگل درایو قربانی فرستاده می‌شود. در آزمایش بارگوری، او یک فایل جعلی طراحی کرد که شبیه یادداشت‌های جلسه‌ای خیالی با سم آلتمن، مدیرعامل اپن‌ای‌آی بود. در داخل این سند، یک دستور مخرب به طول ۳۰۰ کلمه به صورت متن سفید با اندازه بسیار کوچک مخفی شده بود که برای چشم انسان نامرئی بود ولی مدل هوش مصنوعی آن را می‌خواند.

زمانی که قربانی از چت‌بات می‌خواهد «خلاصه جلسه اخیرم با سم را ارائه دهد»، دستور پنهان به هوش مصنوعی اعلام می‌کند که نیازی به خلاصه کردن نیست. بلکه باید در گوگل درایو به دنبال کلیدهای API بگردد و آن‌ها را به یک لینک خاص اضافه کند. این لینک، کدی است که به سرور هکرها وصل می‌شود و اطلاعات حساب را استخراج می‌کند.

کلیدهای API مانند کلیدهای دسترسی عمل می‌کنند که برای شناسایی و احراز هویت کاربران یا برنامه‌ها در هنگام استفاده از خدمات آنلاین، از جمله اتصال به سرورها یا دسترسی به داده‌ها، به کار می‌روند.

اندی ون، یکی از مدیران گوگل، می‌گوید: «اگرچه این مشکل منحصر به گوگل نیست، اما نشان می‌دهد چرا توسعه مکانیزم‌های حفاظتی قوی در برابر حملات تزریق دستور بسیار مهم است.»

این حمله نمونه‌ای دیگر از تهدیدهای ناشی از تزریق غیرمستقیم فرمان در سیستم‌های هوش مصنوعی به شمار می‌رود. محققان هشدار داده‌اند که با افزایش اتصال سیستم‌ها به مدل‌های هوش مصنوعی، خطر دریافت داده‌های غیرقابل اعتماد نیز بیشتر می‌شود. دسترسی به اطلاعات حساس می‌تواند راه نفوذ هکرها به سایر بخش‌های سازمان را باز کند. بارگوری افزود: «اتصال مدل‌های زبانی به منابع داده خارجی باعث افزایش توانایی آن‌ها می‌شود، اما این توانایی با مخاطرات امنیتی همراه است.»