Si un pirata informático puede monitorear el tráfico de Internet entre su objetivo y el asistente de inteligencia artificial basado en la nube del objetivo, podría captar fácilmente la conversación. Y si esa conversación contenía información confidencial, esa información también terminaría en manos de los atacantes.
Esto es según un nuevo análisis de investigadores del Laboratorio de Investigación de IA Ofensiva de la Universidad Ben-Gurion en Israel, que encontraron una manera de implementar ataques de canal lateral contra objetivos utilizando todos los asistentes del Modelo de Lenguaje Grande (LLM), excepto Google Geminis.
Eso incluye AbiertoAILa potencia de Chat-GPT.
La técnica del «relleno»
“Actualmente, cualquiera puede leer los chats privados enviados desde ChatGPT y otros servicios”, dijo Yisroel Mirsky, jefe del Laboratorio de Investigación de IA Ofensiva. ArsTechnica.
“Esto incluye actores maliciosos en la misma red Wi-Fi o LAN que un cliente (por ejemplo, en la misma cafetería), o incluso un actor malicioso en Internet: cualquiera que pueda observar el tráfico. El ataque es pasivo y puede ocurrir sin el conocimiento de OpenAI o de su cliente. OpenAI cifra su tráfico para evitar este tipo de ataques de escucha, pero nuestra investigación muestra que la forma en que OpenAI utiliza el cifrado es defectuosa y, por lo tanto, el contenido de los mensajes queda expuesto”.
Básicamente, en un intento por hacer que la herramienta fuera lo más rápida posible, los desarrolladores abrieron las puertas a los delincuentes para que pudieran acceder a su contenido. Cuando el chatbot comienza a enviar su respuesta, no la envía toda a la vez. Envía pequeños fragmentos, en forma de tokens, para acelerar el proceso. Estos tokens pueden estar cifrados, pero como se envían uno por uno, tan pronto como se generan, eso permite a los atacantes analizarlos.
Los investigadores analizaron el tamaño, la longitud, la secuencia por la que llegan y más de los tokens. El análisis y el posterior refinamiento dieron como resultado respuestas descifradas que eran casi idénticas a las vistas por la víctima.
Los investigadores sugirieron que los desarrolladores hicieran una de dos cosas: dejar de enviar tokens uno a la vez o fijarlos todos en la longitud del paquete más grande posible, lo que imposibilita el análisis. Esta técnica, a la que denominaron “relleno”, fue adoptada por OpenAI y Cloudflare.