ChatGPT-plug-ins vormen beveiligingsrisico’s

Over het verleden acht maanden lang heeft ChatGPT indruk gemaakt op miljoenen mensen met zijn vermogen om realistisch ogende tekst te genereren en alles te schrijven, van verhalen tot code. Maar de door OpenAI ontwikkelde chatbot is nog relatief beperkt in wat hij kan.

Het grote taalmodel (LLM) neemt “prompts” van gebruikers die het gebruikt om ogenschijnlijk gerelateerde tekst te genereren. Deze reacties zijn gedeeltelijk gemaakt op basis van gegevens die in september 2021 van internet zijn gehaald en er worden geen nieuwe gegevens van internet gehaald. Voer plug-ins in, die functionaliteit toevoegen, maar alleen beschikbaar zijn voor mensen die betalen voor toegang tot GPT-4, de bijgewerkte versie van het OpenAI-model.

Sinds OpenAI in maart plug-ins voor ChatGPT lanceerde, hebben ontwikkelaars geracet om plug-ins te maken en te publiceren waarmee de chatbot nog veel meer kan. Met bestaande plug-ins kunt u vluchten zoeken en reizen plannen, en ervoor zorgen dat ChatGPT tekst op websites, in documenten en op video’s kan openen en analyseren. Andere plug-ins zijn meer niche en beloven u de mogelijkheid om te chatten met de Tesla-gebruikershandleiding of door Britse politieke toespraken te zoeken. Er zijn momenteel meer dan 100 pagina’s met plug-ins vermeld in de plug-inwinkel van ChatGPT.

Maar te midden van de explosie van deze extensies, zeggen beveiligingsonderzoekers dat er enkele problemen zijn met de manier waarop plug-ins werken, waardoor de gegevens van mensen in gevaar kunnen komen of mogelijk kunnen worden misbruikt door kwaadwillende hackers.

Johann Rehberger, een rode teamdirecteur bij Electronic Arts en beveiligingsonderzoeker, heeft in zijn vrije tijd problemen met de plug-ins van ChatGPT gedocumenteerd. De onderzoeker heeft gedocumenteerd hoe ChatGPT-plug-ins kunnen worden gebruikt om iemands chatgeschiedenis te stelen, persoonlijke informatie te verkrijgen en toe te staan ​​dat code op afstand wordt uitgevoerd op iemands computer. Hij heeft zich vooral gericht op plug-ins die gebruikmaken van OAuth, een webstandaard waarmee u gegevens tussen online accounts kunt delen. Rehberger zegt dat hij privé contact heeft gehad met een half dozijn ontwikkelaars van plug-ins om problemen aan de orde te stellen, en dat hij een paar keer contact heeft opgenomen met OpenAI.

“ChatGPT kan de plug-in niet vertrouwen”, zegt Rehberger. “Het kan fundamenteel niet vertrouwen op wat terugkomt van de plug-in, omdat het van alles kan zijn.” Een kwaadwillende website of document kan, door het gebruik van een plug-in, proberen een directe injectie-aanval uit te voeren tegen het grote taalmodel (LLM). Of het kan kwaadaardige payloads invoegen, zegt Rehberger.

Gegevens kunnen mogelijk ook worden gestolen door middel van cross-plugin-verzoekvervalsing, zegt de onderzoeker. Een website kan een snelle injectie bevatten waardoor ChatGPT een andere plug-in opent en extra acties uitvoert, wat hij heeft aangetoond door middel van een proof of concept. Onderzoekers noemen dit ‘chaining’, waarbij de ene plug-in een andere oproept om te werken. “Er zijn geen echte beveiligingsgrenzen” binnen ChatGPT-plug-ins, zegt Rehberger. “Het is niet erg goed gedefinieerd, wat de veiligheid en het vertrouwen is, wat de daadwerkelijke verantwoordelijkheden zijn [are] van elke belanghebbende.”

Sinds de lancering in maart zijn de plug-ins van ChatGPT in bèta, in wezen een vroege experimentele versie. Bij het gebruik van plug-ins op ChatGPT waarschuwt het systeem dat mensen een plug-in moeten vertrouwen voordat ze deze gebruiken, en dat ChatGPT mogelijk uw gesprek en andere gegevens naar de plug-in moet sturen om de plug-in te laten werken.

Niko Felix, een woordvoerder van OpenAI, zegt dat het bedrijf werkt aan het verbeteren van ChatGPT tegen “exploits” die kunnen leiden tot misbruik van zijn systeem. Het beoordeelt momenteel plug-ins voordat ze in de winkel worden opgenomen. In een blogpost in juni zei het bedrijf dat het onderzoek heeft gezien dat aantoont hoe “niet-vertrouwde gegevens van de output van een tool het model kunnen instrueren om onbedoelde acties uit te voeren.” En dat het ontwikkelaars aanmoedigt om mensen op bevestigingsknoppen te laten klikken voordat ChatGPT acties met ‘echte impact’, zoals het verzenden van een e-mail, uitvoert.