ChatGPT présente un risque de sécurité effrayant après une nouvelle mise à jour. Vos données sont en difficulté ?
L’introduction du téléchargement de fichiers dans ChatGPT Plus crée de malheureux problèmes futurs.
Grâce aux nouvelles mises à jour de ChatGPT telles que Code Interpreter, l’intelligence artificielle générative populaire d’OpenAI pose davantage de problèmes de sécurité. Selon les recherches de l’expert en sécurité Johann Rehberger (et les travaux de suivi de Tom’s Hardware), ChatGPT présente des failles de sécurité flagrantes qui proviennent de sa nouvelle fonctionnalité de téléchargement de fichiers.
Le tweet a peut-être été supprimé
La récente mise à jour d’OpenAI vers ChatGPT Plus a ajouté une myriade de nouvelles fonctionnalités, notamment la génération d’images DALL-E et l’interpréteur de code, qui permet l’exécution de code Python et l’analyse de fichiers. Le code est créé et exécuté dans un environnement sandbox qui est malheureusement vulnérable aux attaques par injection rapide.
Vulnérabilité connue de ChatGPT depuis un certain temps déjà, l’attaque consiste à inciter ChatGPT à exécuter des instructions à partir d’une URL tierce, l’amenant à encoder les fichiers téléchargés dans une chaîne conviviale pour les URL et à envoyer ces données à un site Web malveillant. Même si la probabilité d’une telle attaque nécessite des conditions spécifiques (par exemple, l’utilisateur doit activement coller une URL malveillante dans ChatGPT), le risque reste préoccupant. Cette menace de sécurité pourrait se concrétiser dans divers scénarios, notamment la compromission d’un site Web de confiance avec une invite malveillante – ou grâce à des tactiques d’ingénierie sociale.
Tom’s Hardware a effectué un travail impressionnant pour tester la vulnérabilité des utilisateurs à cette attaque. L’exploit a été testé en créant un faux fichier de variables d’environnement et en utilisant ChatGPT pour traiter et envoyer par inadvertance ces données à un serveur externe. Bien que l’efficacité de l’exploit variait selon les sessions (par exemple, ChatGPT refusait parfois de charger des pages externes ou de transmettre des données de fichiers), il soulève d’importants problèmes de sécurité, en particulier compte tenu de la capacité de l’IA à lire et à exécuter des commandes Linux et à gérer les fichiers téléchargés par les utilisateurs dans un environnement Linux. environnement virtuel basé.
Comme le souligne Tom’s Hardware dans ses conclusions, même si cela semble improbable, l’existence de cette faille de sécurité est significative. ChatGPT ne devrait idéalement pas exécuter d’instructions provenant de pages Web externes, mais c’est pourtant le cas. Indigo Buzz a contacté OpenAI pour obtenir des commentaires, mais il n’a pas immédiatement répondu à notre demande.
