Kiberbiztonsági kutatók megállapították, hogy az OpenAI ChatGPT-hez elérhető harmadik féltől származó bővítmények új támadási felületet jelenthetnek a kiberbűnözők számára, melyek akár érzékeny adatok eltulajdonításában is szerepet játszhatnak. A Salt Labs által közzétett új kutatás szerint a ChatGPT-ben és a környezetében talált biztonsági hibák lehetővé tehetik a támadók számára, hogy a felhasználók tudta nélkül rosszindulatú bővítményeket telepítsenek. A kiberbűnözők különböző felhasználói fiókokat lophatnak el ezek segítségével más webhelyeken is, például a GitHubon. A ChatGPT pluginok olyan eszközök, amelyek a nagy nyelvi modelleken (LLM) futnak, azzal a céllal, hogy a letöltők naprakész információkhoz férjenek hozzá, különböző számításokat futtassanak vagy valamilyen külső szolgáltatást érjenek el. Az OpenAI már bevezette a különböző GPT-ket is, amelyek a ChatGPT egyedi felhasználási területekre szabott változatai, ezzel csökkentették a külső bővítmények számát is. 2024. március 19-től a ChatGPT felhasználók már nem tudnak új bővítményeket telepíteni, illetve új beszélgetéseket létrehozni a már meglévő bővítmények használatával. A Salt Labs által feltárt egyik hiba az OAuth munkafolyamat kihasználását jelenti, melyben a felhasználót megpróbálják rávenni, hogy telepítsen valamilyen bővítményt, melyet egyébként a ChatGPT nem validált. Ez lehetővé teszi a támadók számára, hogy különböző érzékeny adathoz és információhoz jussanak hozzá. A kiberbiztonsági vállalat olyan problémákat is feltárt a PluginLabbal kapcsolatban, amelyek során a támadók átvehetik egy külső oldal felhasználói fiókját, anélkül, hogy a felhasználó valamivel interakcióba lépne (Zero-click exploit). Mivel az „auth.pluginlab[.]ai/oauth/authorized” nem hitelesíti a kérést, a támadó be tud illeszteni egy másik memberID-t. Ezzel a trükkel a támadó használhatja a ChatGPT-t és hozzá tud férni az áldozat GitHub profiljához, illetve forráskódjaihoz is. Több bővítményben, köztük a Kesem AI-ban is felfedezték a fentebb említett OAuth hibát.
Egy, a héten közzétett kutatásban különböző LLM side-channel támadásokat is publikáltak, melyek a nagy nyelvi modellek kommunikációjában használt tokenek sérülékenységét használják ki. Habár ez a folyamat titkosított, a hálózati adatcsomag mérete felfedheti a tokenek hosszát, a támadóknak ebből következtetve lehetősége adódik az érzékeny információk megismerésére. Ezt egy olyan LLM-modell betanításával érik el, amely képes a token hosszúsági szekvenciák alapján az üzenet tartalmát olvasható szöveggé alakítani. A támadás elkerülése érdekében érdemes minden AI fejlesztő vállalatnak ún. véletlenszerű paddingot használni a tokenek tényleges hosszának elfedésére, illetve ajánlják, hogy a tokeneket ne egyenként, hanem nagyobb csoportokban továbbítsák. „A biztonság, a használhatóság és a teljesítmény kiegyensúlyozása összetett kihívást jelent, amely alapos megfontolást igényel” – tették hozzá a kutatók.
