Check Point Software Technologies — израильская компания, работающая в сфере IT-безопасности. Разрабатывает программные и аппаратные системы, включая межсетевые экраны и средства организации виртуальных частных сетей.
OpenAI заявляет о высоком уровне безопасности данных в своих сервисах искусственного интеллекта. Однако, по данным Check Point, до устранения уязвимости ChatGPT допускал утечку данных через side-канал DNS.
Атака «SAD DNS» (сокращенно Side-channel AttackeD DNS) позволяет злоумышленникам перенаправлять любой трафик, изначально предназначенный для определенного домена, на сервер, находящийся под их контролем, тем самым позволяя им перехватывать и взламывать соединения.
В феврале компания, известная своими щедрыми инвестициями в ИИ, устранила уязвимость в ChatGPT, позволявшую с помощью одного запроса обойти меры безопасности, установленные OpenAI.
«Мы обнаружили, что один вредоносный запрос мог активировать скрытый канал утечки данных в рамках обычного разговора в ChatGPT»
— сообщили исследователи из Check Point в понедельник в своем блоге.
При этом OpenAI внедрила различные меры безопасности вокруг ChatGPT, чтобы ограничить утечку данных с помощью различных инструментов, которые она может использовать. Например, компания заявляет: «Среда выполнения кода ChatGPT не может напрямую генерировать исходящие сетевые запросы».
Однако исследователи из Check Point обнаружили, что это не совсем так:
«Обнаруженная нами уязвимость позволяла передавать информацию на внешний сервер через side-канал, исходящий из контейнера, который ChatGPT использует для выполнения кода и анализа данных»
[...]
«Важно отметить, что, поскольку модель работала, исходя из предположения, что эта среда не может напрямую отправлять данные наружу, она не распознавала такое поведение как внешнюю передачу данных, требующую защиты или вмешательства пользователя».
Специалисты по безопасности из Check Point поясняют, что, хотя OpenAI не позволяет ChatGPT выходить в Интернет без разрешения, у компании не было средств контроля над данными, передаваемыми через DNS.
Компания разработала три атаки демонстрирующие, как этот побочный канал может быть использован злоумышленниками. Одна из них включала приложение «GPT» — стороннее приложение, реализующее API ChatGPT, которое выступало в роли личного аналитика по вопросам здоровья.
В ходе демонстрации пользователь загрузил PDF-файл, содержащий результаты лабораторных исследований и личную информацию, для интерпретации GPT. Приложение выполнило эту задачу, и когда его спросили, загружало ли оно данные, «ChatGPT уверенно ответил, что нет, объяснив, что файл хранится только в безопасном внутреннем хранилище».
Тем не менее, приложение GPT передало данные на удаленный сервер, контролируемый злоумышленником.
Подобные уязвимости имеют серьезные последствия для регулируемых отраслей, которые внедряют услуги искусственного интеллекта. Если бы корпоративный сервис искусственного интеллекта допустил утечку такого рода данных, это могло бы стать нарушением законов о персональных данных и личной медицинской информации.