OpenAI ha rivelato che la violazione dei dati di ChatGPT è stata causata da una debolezza del codice open-source framework nel suo chatbot, che è stato risolto rapidamente e apparentemente con conseguenze minime, ma l’incidente potrebbe essere un presagio di future minacce a chatbot e utenti, e OpenAI sta prendendo precauzioni per evitare future violazioni dei dati nell’applicazione.
Quando ChatGPT e altri chatbot sono diventati inizialmente pubblicamente disponibile, il sicurezza informatica comunità era preoccupata per come la tecnologia IA potesse essere sfruttata per condurre attacchi informatici. Non ci è voluto molto perché gli attori delle minacce scoprissero come aggirare i controlli di sicurezza e utilizzarli ChatGPT per scrivere codice dannoso.
La situazione sembra essere cambiata. Invece di utilizzare ChatGPT per indurre disastri informatici, gli aggressori hanno ora attivato la tecnologia stessa. Secondo Settimana della sicurezza, OpenAI, la società che ha creato il chatbot, ha rivelato una violazione dei dati di ChatGPT nel sistema causata da una debolezza nel framework open source del codice. La violazione dei dati di ChatGPT ha messo offline il servizio fino a quando non è stato possibile ripararlo.
La popolarità di ChatGPT era evidente dal momento in cui è stato rilasciato in ritardo 2022. Tutti volevano giocare con il chatbot, dagli autori ai professionisti del software. Nonostante i suoi difetti (parte della sua prosa era goffa o plagiata), ChatGPT è diventata rapidamente l’app consumer in più rapida crescita nella storia, con oltre 100 milioni mensili utenti di Gennaio. Entro un mese dalla sua uscita, circa 13 milioni di persone hanno utilizzato la tecnologia AI ogni giorno. In confronto, Tic tocun’altra app estremamente popolare, ha impiegato nove mesi per raggiungere numeri di utenti comparabili.
Violazione dei dati ChatGPT
È solo una questione di tempo prima che un’app o una tecnologia popolare venga presa di mira dagli attori delle minacce. Nel caso della violazione dei dati di ChatGPT, l’exploit è stato reso possibile da un difetto nell’open source Redis biblioteca. Gli utenti possono ora visualizzare la cronologia delle conversazioni di altri utenti attuali.
Secondo Pesante.AIle librerie open source vengono utilizzate per “sviluppare interfacce dinamiche memorizzando routine e risorse facilmente accessibili e utilizzate di frequente, come classi, dati di configurazione, documentazione, dati della guida, modelli di messaggi, codice e subroutine pre-scritti, specifiche del tipo e valori .”
Redis viene utilizzato da OpenAI per archiviare le informazioni dell’utente per un richiamo e un accesso più rapidi. Poiché migliaia di contributori creano e utilizzano codice open source, le vulnerabilità possono facilmente emergere e passare inosservate. Poiché gli attori delle minacce ne sono consapevoli, gli attacchi alle librerie open source sono aumentati di 742% dal 2019.
ChatGPT la vulnerabilità era piccola nel più ampio schema delle cose e OpenAI ha corretto il difetto entro pochi giorni dalla sua scoperta. Tuttavia, anche piccoli incidenti informatici possono causare danni significativi.
Tuttavia, quello è stato solo un incidente minore. I ricercatori della violazione dei dati di ChatGPT hanno scavato più a fondo, hanno scoperto che la stessa vulnerabilità era probabilmente la causa della visibilità delle informazioni di pagamento per alcune ore prima che ChatGPT fosse messo offline.
“Alcuni utenti potrebbero vedere il nome e il cognome di un altro utente attivo, l’indirizzo e-mail, l’indirizzo di pagamento, le ultime quattro cifre di un numero di carta di credito (solo) e la data di scadenza della carta di credito.” “Nessun numero completo di carta di credito è mai stato esposto”, ha dichiarato OpenAI in una dichiarazione riguardante l’incidente.
Chatbot, AI, sicurezza informatica e violazione dei dati ChatGPT
La violazione dei dati di ChatGPT è stata corretta rapidamente e apparentemente con conseguenze minime, con i clienti paganti interessati che rappresentavano meno di 1% dei suoi utenti. Tuttavia, l’incidente potrebbe prefigurare future minacce a chatbot e utenti.
Esistono già problemi di privacy relativi all’utilizzo dei chatbot. Mark McCreary, il co-presidente di Volpe Rothschild LLP pratica sulla privacy e la sicurezza dei dati, ha detto Cnn che ChatGPT e chatbot sono analoghi alla scatola nera di un aereo di linea. La tecnologia AI accumula enormi quantità di dati e quindi li utilizza per produrre risposte a domande e richieste. Inoltre, qualsiasi cosa nella memoria del chatbot diventa disponibile per altri utenti.
I chatbot, ad esempio, possono acquisire le note di un singolo utente su qualsiasi argomento e quindi riassumere o cercare ulteriori dettagli. Tuttavia, se tali note contengono dati sensibili, come la proprietà intellettuale di un’organizzazione o informazioni riservate sui clienti, vengono aggiunte al file chatbot biblioteca. L’utente ha perso il controllo delle informazioni.
Le restrizioni AI vengono inasprite
Alcune aziende e interi paesi stanno reprimendo i problemi di privacy. JP Morgan Caccia, ad esempio, ha limitato l’utilizzo di ChatGPT da parte dei suoi dipendenti a causa delle restrizioni dell’azienda su software e app di terze parti, ma ci sono anche preoccupazioni sulla sicurezza delle informazioni finanziarie inserite nel chatbot. E l’Italia ha citato la protezione dei dati dei cittadini come motivo per bloccare temporaneamente il programma in tutto il paese. I funzionari hanno affermato che la preoccupazione deriva da GDPR conformità.
Si prevede inoltre che gli attori delle minacce utilizzino ChatGPT per inviare sofisticati e phishing realistico e-mailsecondo esperti. Il linguaggio scadente e la costruzione di frasi strane non sono più indicatori di uno schema di phishing. I chatbot ora emuleranno i parlanti naturali inviando messaggi personalizzati. ChatGPT è in grado di eseguire una traduzione linguistica impeccabile, che sarà un punto di svolta per i nemici di altri paesi.
L’uso dell’intelligenza artificiale per produrre disinformazione e campagne di cospirazione è una tecnica altrettanto dannosa. Le conseguenze di questa pratica possono estendersi oltre i pericoli informatici. Ricercatori utilizzati ChatGPT per creare un editoriale che somigliasse a qualsiasi cosa vista InfoGuerre o altri noti siti Web che promuovono teorie del complotto.
Le minacce vengono affrontate da OpenAI
Lo sviluppo della violazione dei dati di chatbot porterà nuovi rischi informatici, sia attraverso abilità linguistiche più complesse che attraverso la loro popolarità. Di conseguenza, la tecnologia è un obiettivo primario per un vettore di attacco. A tal fine, OpenAI sta prendendo precauzioni per evitare future violazioni dei dati nell’applicazione. Pagherà una taglia di bug fino a $ 20.000 a chiunque trovi vulnerabilità precedentemente sconosciute.
Tuttavia, secondo Le notizie sugli hacker, “il programma non copre problemi di sicurezza del modello o allucinazioni, in cui al chatbot viene richiesto di generare codice dannoso o altri output difettosi.” Sembra quindi che OpenAI desideri rafforzare la tecnologia contro gli attacchi esterni, facendo poco per impedire al chatbot di diventare una fonte di attacchi informatici.
ChatGPT e altri chatbot saranno attori chiave nel regno della sicurezza informatica. Solo il tempo dirà se la tecnologia sarà l’obiettivo degli assalti o il generatore di essi.
Fughe di dati e attacchi informatici sono tra i problemi più gravi di oggi. Non sei d’accordo? Dai un’occhiata a questi:
- Violazione dei dati di T-Mobile: colpiti 37 milioni di account
- Violazione dei dati di Twitter: 400 milioni di utenti colpiti
Source: Violazione dei dati ChatGPT: OpenAI conferma la vulnerabilità nella libreria open source