OpenAI ha risolto un bug di perdita dei dati in ChatGPT. Tuttavia, questo potrebbe potenzialmente far trapelare i dettagli delle conversazioni degli utenti su un URL esterno. Secondo il ricercatore di sicurezza Johann Rehberger, colui che ha scoperto il bug di OpenAI, la soluzione introdotta dall’azienda per risolvere la falla sarebbe “imperfetta”. Gli hacker possono infatti sfruttare ancora l’errore in determinate condizioni. Il bug di OpenAI che permetteva di esfiltrare dati da ChatGPT era stato scoperto e segnalato da Rehberger nell'aprile 2023. Dopo essere stato ignorato da OpenAI, il 12 dicembre scorso il ricercatore ha deciso di condividere la sua scoperta con gli utenti, in modo da aumentare la consapevolezza sui possibili rischi. Rehberger ha infatti mostrato un GPT tris personalizzato chiamato “The Thief!”, capace di esfiltrare i dati delle conversazioni a un dispositivo esterno tramite URL gestito dal ricercatore.
OpenAI: come funziona il bug della fuga di dati su ChatGPT
Il furto di dati prevede il rendering del markdown dell'immagine e l'inserimento di prompt. L'attacco richiede quindi alla vittima di inviare un messaggio dannoso che l'aggressore ha fornito o pubblicato direttamente da qualche parte affinché le vittime possano scoprirlo e utilizzarlo. In alternativa, è possibile utilizzare un GPT dannoso (come ha dimostrato Rehberger). Gli utenti che utilizzano quel GPT non si renderebbero conto che i dettagli della conversazione insieme ai metadati (timestamp, ID utente, ID sessione) e dati tecnici (indirizzo IP, stringhe agente utente) sono filtrati a terzi. Dopo che Rehberger ha pubblicizzato i dettagli del difetto sul suo blog, OpenAI ha risposto implementando controlli lato client. Questi vengono eseguiti tramite una chiamata a un'API di convalida per impedire il rendering di immagini provenienti da URL non sicuri.
Il ricercatore ha osservato che in alcuni casi ChatGPT invia ancora richieste a domini arbitrari. Ciò significa che, a volte, l'attacco potrebbe ancora funzionare, con discrepanze osservate anche durante il test dello stesso dominio. Poiché i dettagli specifici sul controllo che determina se un URL è sicuro non sono noti, non c'è modo di conoscere la causa esatta di queste discrepanze. Tuttavia, è stato notato che lo sfruttamento del difetto ora presenta limitazioni nella velocità di trasferimento dei dati e funziona molto più lentamente. Rehberger ricorda infine che la chiamata di convalida lato client deve ancora essere implementata sull'app mobile ChatGPT per iOS, quindi l'attacco rimane inalterato al 100%. Non è inoltre chiaro se la correzione sia stata implementata sull'app Android di ChatGPT, che conta oltre 10 milioni di download su Google Play.