تواصل شركة OpenAI العمل على ChatGPT لمواصلة مفاجأتنا بتحسينات لا حصر لها في برنامج المحادثة الأكثر شيوعًا مع الذكاء الاصطناعي في العالم، والذي يمكن استخدامه الآن مجانًا من أجهزة الكمبيوتر الشخصية أو الهواتف المحمولة وحتى الآن الاستمتاع بأدلة من المطور نفسه، الذي يريد أن يجعل نحن خبراء في نفس الوقت. حان الوقت لتقديم مطالبات أفضل عند التحدث إلى الذكاء الاصطناعي.
على أي حال، كما نشر العديد من خبراء الأمن السيبراني في الساعات الأخيرة، هناك مخاطر معينة عندما نتحدث مع ChatGPT، ومن المنطقي أن برنامج الدردشة الآلي هذا ليس خاليًا من نقاط الضعف كما في أي أداة أخرى عبر الإنترنت.في الواقع، من المعروف بالفعل أن تصحيحًا مهمًا قد تم تنفيذه للتو والذي يبدو في الوقت الحالي أنه لا يزال غير كامل وتم إصداره مبكرًا، من أجل تصحيح مشكلة تصفية البيانات في ChatGPT في أسرع وقت ممكن والتي قد تكشف تفاصيل التحويل إلى ملف عنوان URL خارجي.
كل ذلك ينشأ من العمل الذي قام به الباحث Johann Rehberger، الذي اكتشف في أبريل الماضي 2023 تقنية لاستخراج البيانات من ChatGPT والتي يمكن استغلالها من قبل المستخدمين الضارين للتصيد الاحتيالي أو سرقة معلومات حساسة من أي شخص يقوم بالدردشة مع ChatGPT.
من الواضح أن هذا الخبير أبلغ OpenAI بمجرد اكتشافه للثغرة، على الرغم من أن الشركة الأمريكية الشمالية أغلقت القضية في 15 نوفمبر، تاركة العديد من أسئلة المتابعة دون إجابة وفي انتظار الحل، الأمر الذي دفع ريبيرجر إلى نشر المعلومات بالكامل ومشاركة الثغرة مع العموم.
في الواقع، نشر أيضًا مقطع فيديو يوضح تشغيل GPT مخصص قادر على استغلال الثغرة الأمنية وتصفية البيانات من محادثة إلى عنوان URL خارجي يديره بنفسه:
هذه هي الطريقة التي تعمل بها الثغرة الأمنية وهذه هي الطريقة التي تم بها تصحيحها (جزئيًا) بواسطة OpenAIيستخدم هذا الاختراق الأمني تمثيل الصور وبياناتها الوصفية، بالإضافة إلى حقن "المطالبات" التي تتطلب من الضحية إرسال رسالة ضارة كان المهاجم قد قدمها مسبقًا.
بالطبع، يمكن أيضًا استخدام GPT ضار مثل الموجود في الفيديو أعلاه، لإخفاء سرقة البيانات ومنع المستخدمين من إدراك أن تفاصيل محادثتهم يتم تسريبها إلى أطراف ثالثة، بما في ذلك مُعرفات المستخدم ومُعرف الجلسة، عنوان IP، وما إلى ذلك...
كانت استجابة OpenAI فورية، ونفذت الشركة التي يقع مقرها في سان فرانسيسكو عمليات فحص من جانب العميل تستدعي واجهة برمجة تطبيقات التحقق من الصحة لمنع عرض الصور من عناوين URL غير الآمنة، على الرغم من أن هذا لا يعمل إلا جزئيًا لأن ChatGPT يستمر في تقديم طلبات إلى نطاقات عشوائية.
عندما يقوم الخادم بإرجاع علامة صورة مع ارتباط تشعبي، يوجد الآن استدعاء من جانب العميل إلى واجهة برمجة تطبيقات التحقق من الصحة قبل تحديد ما إذا كان سيتم عرض الصورة أم لا. نظرًا لأن ChatGPT ليس مفتوح المصدر ولم يتم تنفيذ الحل من خلال سياسة أمنية يمكن فحصها من قبل المستخدمين أو الباحثين، فإن التفاصيل الدقيقة للتحقق من الصحة غير معروفة.
والمعروف أن الحل تم تنفيذه حتى الآن في إصدارات الويب من ChatGPT، ولكن ليس في تطبيق iOS ولا في تطبيق أندرويد ، حيث حقق الأخير أكثر من 10 ملايين عملية تنزيل في متجر غوغل بلاي. لذلك، يعد هذا حلًا غير مثالي في الوقت الحالي، نظرًا لأن ChatGPT يستمر أيضًا في فتح الاتصالات بشكل عشوائي إلى نطاقات معينة.ليس هناك المزيد من المعلومات، ناهيك عن المعلومات الرسمية، لكننا ندرك أنه سيكون هناك تصحيح كامل قريبًا جدًا من شأنه حل هذه المشكلة... في الوقت الحالي، كن حذرًا وكن على دراية بما يعنيه استخدام أي أداة عبر الإنترنت!
from حوحو للمعلوميات https://ift.tt/SXVGPt1
via IFTTT
0 التعليقات:
إرسال تعليق