آسیب‌پذیری جدید در چت‌جی‌پی‌تی؛ افشای داده‌های کاربران با حملات تزریق دستور

به گزارش وب‌سایت «د هکر نیوز» (The Hacker News)، گروهی از محققان موفق به شناسایی یک آسیب‌پذیری در سیستم‌های چت‌جی‌پی‌تی شده‌اند. این حفره امنیتی از طریق حملات تزریق دستور مخرب (Prompt Injection) و سوءاستفاده از قابلیت خلاصه‌سازی صفحات وب، زمینه را برای اجرای حملات فیشینگ فراهم می‌کند.

بر اساس این گزارش، ضعف مذکور عمدتاً به اعتماد ذاتی چت‌جی‌پی‌تی به فایل‌های دارای پسوند «مارک‌داون» (Markdown) بازمی‌گردد. مارک‌داون نوعی قالب فایل است که می‌تواند دربردارندهٔ لینک‌ها و تصاویر باشد و سامانهٔ هوش مصنوعی قادر به تشخیص و خواندن آن است.

این مدل هوش مصنوعی، هرگونه لینک یا تصویر موجود در محتوای مارک‌داون را که درون صفحات وب جایگذاری شده باشد و کاربر نیز درخواست خلاصه‌سازی مستقیم آن صفحه را مطرح کند، بدون هیچ گونه پالایشی نمایش می‌دهد. پژوهشگران شرکت «پریسمو سکیوریتی» (Prismo Security) این روش را «فیشینگ چت‌جی‌پی‌تی» نامیده‌اند.

در همین حال، وب‌سایت بریتانیایی «رجیستر» (The Register) گزارش داده است که علت بروز این آسیب‌پذیری، ناتوانی چت‌جی‌پی‌تی در تمایز میان محتوای تولیدشده توسط خود و محتوایی است که با هدف مخرب به صفحات وب تزریق می‌شود. در نتیجه، هنگام خلاصه‌سازی، مدل تمامی آن محتوا را به کاربر نشان می‌دهد.

بر اساس گزارش رجیستر، شرکت OpenAI تاکنون هیچ پاسخی یا توضیحی دربارهٔ این آسیب‌پذیری و امکان یا عدم امکان رفع آن ارائه نکرده است.

اندی احمدی، پژوهشگر امنیتی در شرکت «پرسمو» (Persmo)، در گفت‌وگو با رجیستر ابراز داشته است که انتظار ندارد این مشکل منحصر به چت‌جی‌پی‌تی بوده یا ناشی از یک خطای برنامه‌نویسی در این سامانه باشد. به گفتهٔ وی، به دلیل ارتباط این آسیب‌پذیری با مکانیسم اصلی مدل‌های هوش مصنوعی مولد، ممکن است دامنهٔ آن طیف گسترده‌ای از ابزارهای مشابه را نیز در بر گیرد.

احمدی توضیح داده است که مدل‌های هوش مصنوعی اکنون تا حدی تکامل یافته‌اند که رفتارهایی شبیه به سیستم‌عامل‌ها و مرورگرهای اینترنتی از خود نشان می‌دهند. در چنین وضعیتی، امکان یافتن و ایجاد مستقیم آسیب‌پذیری‌های نرم‌افزاری در آن‌ها وجود دارد.

مکانیسم حمله: چگونه این آسیب‌پذیری کار می‌کند؟

این حفره امنیتی در دستهٔ حملات «تزریق دستور به مدل هوش مصنوعی» طبقه‌بندی می‌شود. در این نوع حملات، مجموعه‌ای از دستورات مخرب درون صفحات وب پنهان می‌شوند و سپس به مدل‌های هوش مصنوعی ارسال می‌گردند تا داده‌های کاربر افشا شود.

در حالت مشخص این آسیب‌پذیری، نشانی IP کاربر، موقعیت جغرافیایی، نوع رایانه یا دستگاه مورد استفاده، و هرگونه دادهٔ داخلی دیگری که از طریق فرم‌ها به اشتراک گذاشته شده باشد، در معرض خطر قرار می‌گیرد. همچنین این دستورات مخرب شامل سازوکاری برای ارسال پنهانی پاسخ‌ها و اطلاعات گردآوری‌شده به مهاجم هستند تا وی بتواند در مراحل بعدی از آن‌ها بهره‌برداری کند.
 

خطر ترکیبی: بیش از یک تهدید

احمدی تأکید می‌کند که این حمله، نمادی از پیچیدگی تهدیدهای امنیتی در عصر هوش مصنوعی به شمار می‌رود. اگرچه نخستین نقطهٔ خطر، افشای داده‌های خصوصی کاربر در اختیار مهاجمان است، اما نقطهٔ خطر دیگری نیز از طریق نمایش لینک‌های مخرب یا کدهای پاسخ سریع (QR) ایجاد می‌شود.

در این حالت، کاربر با کلیک بر روی لینک مخرب یا اسکن کد کیوآر از طریق تلفن همراه خود، عملاً به مهاجم اجازه می‌دهد کنترل دستگاهش را به دست گیرد و هر اقدامی را که بخواهد انجام دهد. این مرحله به منزلهٔ یک درگاه حملهٔ اولیه عمل می‌کند؛ به این معنا که مهاجم از این طریق می‌تواند هر گونه عملیات دلخواه را روی دستگاه قربانی پیاده کند، به ویژه اگر قربانی کدهای کیوآر مخرب را اسکن نماید یا روی هر لینک خارجی موجود در دستگاه کلیک کند.

احمدی در پایان سخنان خود نسبت به خطر حملات تزریق دستور هشدار داد و خاطرنشان ساخت که این نوع تهدیدها مستقیماً به قابلیت‌های ذاتی برنامه‌های هوش مصنوعی گره خورده‌اند و از جنس آسیب‌پذیری‌هایی نیستند که بتوان آن‌ها را صرفاً از طریق اصلاح کدهای برنامه‌نویسی مسدود کرد.