Tudo sobre ChatGPT
Imagine um hacker que consegue monitorar o tráfego de sua internet, interceptando seu acesso aos serviços que utiliza, incluindo os chatbots de inteligência artificial (IA) generativa.
Pois bem, se isso acontecer, ele conseguirá ler sua conversa com a ferramenta de forma bem tranquila – e isso inclui o mais famoso de todos, o ChatGPT, da OpenAI. Se a conversa tiver informações confidenciais, então, os invasores conseguiriam-nas facilmente.
O TechRadar aponta que essa preocupante questão foi detectada em nova pesquisa de profissionais do Offensive AI Research Lab, da Universidade Ben-Gurion (Israel). Eles conseguiram implantar ataques de canal lateral por meio de quase todos os modelos de linguagem grande (LLMs, da sigla em inglês) – só o Google Gemini se salvou.
Técnicas de hackeamento dos chatbots
- “Atualmente, qualquer pessoa pode ler bate-papos privados enviados do ChatGPT e de outros serviços”, disse Yisroel Mirsky, chefe do Offensive AI Research Lab à ArsTechnica;
- Mirsky indicou ainda que isso inclui pessoas que estão conectadas ao mesmo Wi-Fi ou rede cabeada da vítima. “O ataque é passivo e pode acontecer sem o conhecimento da OpenAI ou do cliente”, alertou;
- Segundo o pesquisador, apesar de a empresa de Sam Altman criptografar o tráfego de dados, “nossa pesquisa mostra que a maneira como a OpenAI usa a criptografia é falha e, portanto, o conteúdo das mensagens é exposto”.
O estudo aponta que, na tentativa de deixar o ChatGPT mais rápido, os desenvolvedores, deixaram os criminosos com porta aberta para acessar os dados sensíveis de seus clientes.
Como o ChatGPT responde o usuário
A resposta do chatbot não é enviada completa, mas, sim, por trechos, em forma de tokens, como meio de acelerar o processo. Eles são criptografáveis, mas como são enviados um por vez, logo que são gerados, há tempo hábil para os atacantes os analisarem.
No estudo, os pesquisadores analisaram tamanho e comprimento dos tokens, a sequência na qual chegam, entre outros. Essa análise e seu refinamento resultaram em respostas descriptografadas quase idênticas à visualizáveis pela vítima.
Para consertar a situação, os pesquisadores dão duas sugestões aos desenvolvedores (que deveriam escolher uma delas): parar de enviar tokens, um de cada vez, ou fixá-los no tamanho do maior pacote possível, impossibilitando a análise. A técnica foi apelidada de “preenchimento” e já adotada pela OpenAI e pela Cloudfare.