Koristite li ChatGPT, trebali biste biti oprezni s informacijama koje s njim dijelite. Naime, voditelj laboratorija za istraživanje ofenzivne umjetne inteligencije na izraelskom Sveučilištu Ben-Gurion Yisroel Mirsky otkrio je kako je trenutačno moguće čitati privatne razgovore s ChatGPT-a i drugih takvih servisa.
Iako servisi poput ChatGPT-a koriste enkripciju za zaštitu razgovora između korisnika i servisa, kako ističe Mirsky, ta enkripcija nije dovoljno dobra za zaštitu podataka.
Objašnjava kako hakeri ili drugi zlonamjerni akteri koji su na istoj mreži kao i "žrtva" mogu promatrati promet između korisnika i servisa, te s pomoću metapodataka i velikih jezičnih modela posebno osposobljenih za taj zadatak, dorađivati te podatke i otkrivati o čemu se u "hakiranom" razgovoru raspravljalo.
Otkrili smo da je ovaj napad iznimno dobar u dešifriranju odgovora na uobičajena pitanja koja ljudi postavljaju svojim pomoćnicima (npr. podaci iz povijesti, savjeti), ali se muči s dešifriranjem proizvoljnog sadržaja (npr. rješavanje zagonetke), napisao je Mirsky
Kako ističe Mirsky, takav pasivni napad u čak 55 posto slučajeva može zaključiti o čemu se raspravljalo u razgovoru, a savršeno može biti točan u čak 29 posto slučajeva.
Napad je pasivan i može se dogoditi bez znanja OpenAI-a ili njihova klijenta. OpenAI šifrira njihov promet kako bi spriječio takve vrste napada, ali naše je istraživanje pokazalo da je način na koji OpenAI koristi enkripciju pogrešan i sadržaj je poruka izložen, istaknuo je za Ars Technicu.
Zanimljivo, ChatGPT nije jedini chatbot koji je izložen takvom napadu, ali isto tako, jedini chatbot koji nije ranjiv jest Googleov Gemini.
Istraživači su, u svojoj studiji, dali dva prijedloga za ublažavanje učinkovitosti takva napada. Prvi je slijediti Googleov primjer i prestati slati pakete jedan po jedan jer ih takvo slanje čini lakšima za otkrivanje i prevođenje. Drugi je primijeniti tehniku koja paketima dodaje nasumične količine razmaka tako da svi imaju fiksnu duljinu jednaku najvećem mogućem paketu. Time bi se otežalo njihovo prepoznavanje.
No problem je što bi primjenom i jednog i drugog prijedloga bio usporen odgovor chatbota korisniku, što bi degradiralo korisničko iskustvo. Kako objašnjava Mirsky, slanje tokena u velikim serijama može uzrokovati kašnjenja, dok bi paketi za punjenje povećali količinu prometa poslanog u svakom odgovoru.
Nakon što je ova studija objavljena, OpenAi i Cloudflare implementirali su promjene koje bi trebale smanjiti mogućnost takvih napada.
Izvor: Ars Technica