A OpenAI mitigou um bug de exfiltração de dados no ChatGPT que poderia potencialmente vazar detalhes de conversas para uma URL externa.
De acordo com o pesquisador que descobriu a falha, a mitigação não é perfeita, então os agressores ainda podem explorá-la sob certas condições.
Além disso, as verificações de segurança ainda estão para ser implementadas no aplicativo móvel iOS para o ChatGPT, então o risco nessa plataforma permanece sem solução.
O pesquisador de segurança Johann Rehberger descobriu uma técnica para exfiltrar dados do ChatGPT e a relatou à OpenAI em abril de 2023.
O pesquisador compartilhou posteriormente em novembro de 2023 informações adicionais sobre a criação de GPTs maliciosos que exploram a falha para aplicar golpes nos usuários.
"Este GPT e as instruções subjacentes foram prontamente relatadas à OpenAI em 13 de novembro de 2023", escreveu o pesquisador em sua divulgação.
"No entanto, a solicitação foi encerrada em 15 de novembro como 'Não Aplicável'.
Duas perguntas de acompanhamento permaneceram sem resposta.
Portanto, parece melhor compartilhar isso com o público para aumentar a conscientização."
Os GPTs são modelos de IA personalizados comercializados como "aplicativos de IA", especializados em vários papéis, como agentes de suporte ao cliente, assistência em redação e tradução, análise de dados, elaboração de receitas de cozinha com base em ingredientes disponíveis, coleta de dados para pesquisa e até jogando jogos.
Após a falta de resposta do fornecedor do chatbot, o pesquisador decidiu divulgar publicamente suas descobertas em 12 de dezembro de 2023, onde demonstrou um GPT personalizado de jogo da velha chamado 'The Thief!', que pode exfiltrar dados de conversa para uma URL externa operada pelo pesquisador.
O roubo de dados envolve a renderização de marcação de imagem e a injeção de comando, então o ataque exige que a vítima envie um comando malicioso fornecido ou postado em algum lugar pelo agressor para as vítimas descobrirem e usarem.
Alternativamente, um GPT malicioso pode ser usado, como Rehberger demonstrou, e os usuários que usam esse GPT não perceberiam que os detalhes de suas conversas, juntamente com metadados (horários, ID do usuário, ID da sessão) e dados técnicos (endereço de IP, strings de agentes do usuário) são exfiltrados para terceiros.
Depois que Rehberger divulgou os detalhes da falha em seu blog, a OpenAI respondeu à situação e implementou verificações do lado do cliente realizadas por meio de uma chamada para uma API de validação para prevenir a renderização de imagens de URLs inseguras.
"Quando o servidor retorna uma tag de imagem com um hyperlink, agora há uma chamada do lado do cliente do ChatGPT para uma API de validação antes de decidir exibir uma imagem", explica Rehberger em uma nova postagem que revisita o problema para discutir a correção.
"Como o ChatGPT não é de código aberto e a correção não é via Content-Security-Policy (que é visível e inspecionável por usuários e pesquisadores), os detalhes exatos da validação não são conhecidos."
O pesquisador observa que, em alguns casos, o ChatGPT ainda renderiza solicitações para domínios arbitrários, então o ataque ainda pode funcionar às vezes, com discrepâncias observadas mesmo ao testar o mesmo domínio.
Como detalhes específicos sobre a verificação que determina se uma URL é segura são desconhecidos, não há como saber a causa exata dessas discrepâncias.
No entanto, é notado que explorar a falha agora é mais barulhento, possui limitações de taxa de transferência de dados e funciona muito mais devagar.
Também é mencionado que a chamada de validação do lado do cliente ainda não foi implementada no aplicativo móvel iOS, então o ataque permanece 100% sem mitigação lá.
Também não está claro se a correção foi implementada no aplicativo ChatGPT para Android, que tem mais de 10 milhões de downloads no Google Play.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...