Rejoignez-nous
Divers

ChatGPT présente un risque de sécurité effrayant après une nouvelle mise à jour. Vos données sont en difficulté ?

Pierre

Date de publication :

Publié il y a 1 an

le

ChatGPT présente un risque de sécurité effrayant après une nouvelle mise à jour. Vos données sont en difficulté ?

L’introduction du téléchargement de fichiers dans ChatGPT Plus crée de malheureux problèmes futurs.

Grâce aux nouvelles mises à jour de ChatGPT telles que Code Interpreter, l’intelligence artificielle générative populaire d’OpenAI pose davantage de problèmes de sécurité. Selon les recherches de l’expert en sécurité Johann Rehberger (et les travaux de suivi de Tom’s Hardware), ChatGPT présente des failles de sécurité flagrantes qui proviennent de sa nouvelle fonctionnalité de téléchargement de fichiers.

La récente mise à jour d’OpenAI vers ChatGPT Plus a ajouté une myriade de nouvelles fonctionnalités, notamment la génération d’images DALL-E et l’interpréteur de code, qui permet l’exécution de code Python et l’analyse de fichiers. Le code est créé et exécuté dans un environnement sandbox qui est malheureusement vulnérable aux attaques par injection rapide.

Vulnérabilité connue de ChatGPT depuis un certain temps déjà, l’attaque consiste à inciter ChatGPT à exécuter des instructions à partir d’une URL tierce, l’amenant à encoder les fichiers téléchargés dans une chaîne conviviale pour les URL et à envoyer ces données à un site Web malveillant. Même si la probabilité d’une telle attaque nécessite des conditions spécifiques (par exemple, l’utilisateur doit activement coller une URL malveillante dans ChatGPT), le risque reste préoccupant. Cette menace de sécurité pourrait se concrétiser dans divers scénarios, notamment la compromission d’un site Web de confiance avec une invite malveillante – ou grâce à des tactiques d’ingénierie sociale.

Tom’s Hardware a effectué un travail impressionnant pour tester la vulnérabilité des utilisateurs à cette attaque. L’exploit a été testé en créant un faux fichier de variables d’environnement et en utilisant ChatGPT pour traiter et envoyer par inadvertance ces données à un serveur externe. Bien que l’efficacité de l’exploit variait selon les sessions (par exemple, ChatGPT refusait parfois de charger des pages externes ou de transmettre des données de fichiers), il soulève d’importants problèmes de sécurité, en particulier compte tenu de la capacité de l’IA à lire et à exécuter des commandes Linux et à gérer les fichiers téléchargés par les utilisateurs dans un environnement Linux. environnement virtuel basé.

Comme le souligne Tom’s Hardware dans ses conclusions, même si cela semble improbable, l’existence de cette faille de sécurité est significative. ChatGPT ne devrait idéalement pas exécuter d’instructions provenant de pages Web externes, mais c’est pourtant le cas. Indigo Buzz a contacté OpenAI pour obtenir des commentaires, mais il n’a pas immédiatement répondu à notre demande.

Pierre

Pierre, plus connu sous son pseudonyme "Pierrot le Fou", est un rédacteur emblématique du site Indigo Buzz. Originaire d'une petite ville du sud-ouest du Gers, cet aventurier des temps modernes est né sous le signe de l'ombre en 1986 au sommet d'une tour esotérique. Élevé dans une famille de magiciens-discount, il a développé un goût prononcé pour l'excentricité et la magie des mots dès son plus jeune âge. Pierre a commencé sa carrière de rédacteur dans un fanzine local dédié aux films d'horreur des années 80, tout en poursuivant des études de communication à l'Université de Toulouse. Passionné par l'univers du web, il a rapidement pris conscience de l'impact du numérique et des réseaux sociaux sur notre société. C'est alors qu'il a décidé de troquer sa collection de cassettes VHS contre un ordinateur flambant neuf... enfin presque.

Cliquer pour commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *