Vulnerabilità della Memoria di ChatGPT: un Potenziale Rischio per la Sicurezza

ArsTechnica (AT) ha riportato martedì uno studio che evidenzia una vulnerabilità nel ChatGPT di OpenAI che ha permesso agli aggressori di manipolare le memorie a lungo termine degli utenti semplicemente facendo visualizzare all’IA un link web dannoso, che poi inviava tutte le interazioni con ChatGPT al sito web dell’aggressore.

Il ricercatore di sicurezza Johann Rehberger ha dimostrato questa falla attraverso una Proof of Concept (PoC), mostrando come la vulnerabilità potesse essere sfruttata per esfiltrare i dati dalla memoria a lungo termine di ChatGPT.

Rehberger ha scoperto che la funzionalità di memoria a lungo termine di ChatGPT era vulnerabile. Questa funzionalità è ampiamente disponibile da settembre.

La vulnerabilità coinvolge una tecnica conosciuta come “iniezione di prompt”. Questa tecnica fa sì che i modelli di linguaggio di grandi dimensioni (LLM) come ChatGPT seguano le istruzioni incorporate in fonti non affidabili, come email o siti web.

L’exploit PoC era specificamente mirato all’app ChatGPT per macOS, dove un attaccante poteva ospitare un’immagine malevola su un link web e istruire l’IA a visualizzarla.

Una volta che il link veniva accesso, tutte le interazioni con ChatGPT venivano trasmesse al server dell’attaccante.

Secondo AT, Rehberger ha scoperto questa falla a maggio, poco dopo che OpenAI ha iniziato a testare la funzione di memoria, che memorizza dettagli dell’utente come età, genere e credenze per utilizzarli nelle interazioni future.

Nonostante avesse segnalato privatamente la vulnerabilità, OpenAI l’ha inizialmente classificata come un “problema di sicurezza” e ha chiuso la segnalazione.

A giugno, Rehberger ha inviato una comunicazione di seguito, inclusa l’exploit PoC che ha permesso l’esfiltrazione continua dell’input dell’utente verso un server remoto, spingendo gli ingegneri di OpenAI a emettere una correzione parziale.

Anche se la recente correzione impedisce questo specifico metodo di esfiltrazione dei dati, Rehberger avverte che le iniezioni repentine possono ancora manipolare lo strumento di memoria per conservare false informazioni impiantate dagli aggressori.

Si consiglia agli utenti di monitorare le loro memorie archiviate per rilevare voci sospette o errate e di rivedere regolarmente le loro impostazioni.

OpenAI ha fornito delle linee guida per gestire ed eliminare i ricordi o disabilitare completamente la funzione della memoria.

L’azienda deve ancora rispondere alle domande riguardanti misure più ampie per prevenire attacchi simili in futuro.

Le scoperte di Rehberger evidenziano i potenziali rischi della memoria a lungo termine nei sistemi di intelligenza artificiale, in particolare quando sono vulnerabili a iniezioni di prompt e manipolazione.