هکرها راه نفوذ را پیدا کردند/ اطلس ChatGPT قربانی حمله تزریق پرامپت‌ شد

تینا مزدکی_محققان امنیت سایبری به شدت نگران قابلیت “حالت عامل” (Agent Mode) در مرورگر جدید OpenAI هستند. این قابلیت که فعلاً فقط برای مشترکان پولی در دسترس است، می‌تواند وظایف آنلاین را به‌صورت خودکار انجام دهد. تنها دو روز پس از معرفی این مرورگر، شرکت Brave، رقیب OpenAI، اعلام کرد که تمام مرورگرهای مجهز به هوش مصنوعی، از جمله محصول جدید OpenAI، در برابر حملاتی به نام «تزریق پرامپت غیرمستقیم» (Indirect Prompt Injection) بسیار آسیب‌پذیرند. در این نوع حملات، هکرها می‌توانند پیام‌های مخفی را به هوش مصنوعی منتقل کرده و آن را وادار به اجرای دستورات مخرب کنند.

با وجود اینکه Brave در گزارش خود مستقیماً نامی از مرورگر OpenAI نبرده بود، کارشناسان بلافاصله تأیید کردند که مرورگر اطلس (Atlas) شرکت OpenAI نیز قطعاً در برابر این حملات آسیب‌پذیر است. برای مثال، یک محقق امنیت هوش مصنوعی با نام مستعار P۱njc۷۰r در روز رونمایی OpenAI توئیت کرد که توانسته ChatGPT را فریب دهد. او به جای اینکه از ChatGPT بخواهد خلاصه‌ای از یک سند در Google Docs تهیه کند، با یک دستور مخفی که با رنگ خاکستری کم‌رنگ پنهان شده بود، کاری کرد که هوش مصنوعی عبارت “Trust No AI” (به هیچ هوش مصنوعی اعتماد نکنید) را همراه با سه شکلک شیطانی نمایش دهد. نشریه The Register نیز توانست این حمله را در آزمایش‌های خود با موفقیت تکرار کند. همچنین، CJ Zafir، یک توسعه‌دهنده، توئیت کرد که پس از کشف واقعی بودن حملات «تزریق پرامپت»، مرورگر اطلس را حذف نصب کرده است.

این نوع حملات، اگرچه ممکن است در ابتدا بی‌ضرر به نظر برسند، اما کدهای مخرب پنهان می‌توانند عواقب بسیار جدی‌تری داشته باشند. شرکت Brave هشدار داده است که مرورگرهای هوش مصنوعی که می‌توانند به نمایندگی از کاربر کارهایی انجام دهند، بسیار قدرتمند اما در عین حال پرخطر هستند. اگر کاربر به حساب‌های حساسی مانند بانک یا ایمیل خود در مرورگر وارد شده باشد، حتی یک خلاصه ساده از یک پست Reddit می‌تواند به هکر اجازه دهد تا پول یا اطلاعات شخصی او را به سرقت ببرد. پیش از این نیز در ماه آگوست، محققان Brave نشان دادند که مرورگر هوش مصنوعی Perplexity’s Comet نیز می‌تواند با یک پست عمومی در Reddit که حاوی دستورات مخفی بود، فریب خورده و اقدامات مخرب انجام دهد.

تدابیر ایمنی OpenAI و نگرانی کارشناسان

OpenAI ادعا می‌کند که با مرورگر هوش مصنوعی خود جانب احتیاط را رعایت می‌کند. در صفحه راهنمای این شرکت آمده است که حالت عامل ChatGPT «نمی‌تواند کدی را در مرورگر اجرا کند، فایلی دانلود یا افزونه‌ای نصب کند.» همچنین «نمی‌تواند به برنامه‌های دیگر روی رایانه یا سیستم فایل دسترسی یابد، خاطرات ذخیره‌شده ChatGPT را بخواند یا بنویسد، به رمزهای عبور دسترسی پیدا کند یا از داده‌های تکمیل خودکار استفاده کند.» این شرکت همچنین تأکید کرده که حالت عامل «بدون تأیید صریح کاربر، به هیچ یک از حساب‌های آنلاین او وارد نخواهد شد.»

با وجود این تمهیدات امنیتی، OpenAI خود هشدار داده است که «تلاش‌هایش هرگونه ریسکی را از بین نمی‌برد.» این شرکت تأکید کرده است که «کاربران همچنان باید هنگام استفاده از حالت عامل، احتیاط کرده و فعالیت‌های ChatGPT را نظارت کنند.» به عبارت دیگر، کاربران باید آماده باشند که یک عامل هوش مصنوعی ده دقیقه طول بکشد تا سه مورد را به سبد خرید آمازون اضافه کند، یا شانزده دقیقه برای یافتن پروازها برای یک سفر آینده زمان صرف کند.

دین استاکی، مدیر ارشد امنیت اطلاعات OpenAI، در توئیتی مفصل توضیح داد که این شرکت «سخت در تلاش است» تا عامل ChatGPT خود را به اندازه «شایسته‌ترین، قابل اعتمادترین و آگاه‌ترین همکار یا دوست در زمینه امنیت» قابل اعتماد سازد. او اعتراف کرد: «ما برای این راه‌اندازی، آزمایش‌های گسترده‌ای با تیم‌های متخصص امنیت (red-teaming) انجام داده‌ایم، تکنیک‌های جدیدی برای آموزش مدل جهت نادیده گرفتن دستورات مخرب پیاده‌سازی کرده‌ایم، لایه‌های امنیتی و حفاظتی متعددی را به کار برده‌ایم و سیستم‌های جدیدی برای شناسایی و مسدود کردن چنین حملاتی اضافه کرده‌ایم. با این حال، تزریق پرامپت همچنان یک مشکل امنیتی حل نشده است و رقبای ما زمان و منابع قابل توجهی را برای یافتن راه‌هایی برای فریب دادن عامل ChatGPT صرف خواهند کرد.»

اما محققان امنیت سایبری و توسعه‌دهندگان همچنان شک دارند که OpenAI کارهای لازم را انجام داده باشد یا حتی وجود جدیدترین مرورگر هوش مصنوعی خود را به اندازه کافی توجیه کند. یوهان ربرگر، محقق امنیت هوش مصنوعی گفت: «OpenAI موانع دفاعی و کنترل‌های امنیتی را پیاده‌سازی کرده که سوءاستفاده را دشوارتر می‌کند. با این وجود، محتوای وب‌سایت‌ها که به‌دقت طراحی شده‌اند که من آن را مهندسی بافت تهاجمی می‌نامم، همچنان می‌تواند ChatGPT Atlas را فریب دهد تا با متنی که توسط حمله‌کننده کنترل می‌شود، پاسخ دهد یا ابزارهایی را برای انجام اقداماتی فراخوانی کند.»

به‌طور خلاصه، علاوه بر نگرانی‌های آشکار در مورد امنیت سایبری، OpenAI برای توجیه وجود مرورگر خود کار زیادی در پیش دارد. سایمون ویلیسون، برنامه‌نویس بریتانیایی، در یک پست وبلاگی نوشت: «من همچنان کل این دسته‌بندی مرورگرهای عامل‌محور را بسیار گیج‌کننده می‌یابم. ریسک‌های امنیتی و حریم خصوصی در این زمینه هنوز برای من بسیار بالا و غیرقابل عبور به نظر می‌رسند – من مطمئناً به هیچ یک از این محصولات اعتماد نخواهم کرد تا زمانی که گروهی از محققان امنیتی، آن‌ها را به‌طور کامل زیر سؤال ببرند.»

منبع: futurism

۲۲۷۳۲۳