Les plugins ChatGPT posent des risques de sécurité

Dans le passé huit mois, ChatGPT a impressionné des millions de personnes avec sa capacité à générer texte réaliste, écrivant tout, des histoires au code. Mais le chatbot, développé par OpenAI, est encore relativement limité dans ce qu’il peut faire.

Le grand modèle de langage (LLM) reçoit des « invites » des utilisateurs qu’il utilise pour générer du texte apparenté. Ces réponses sont créées en partie à partir de données extraites d’Internet en septembre 2021, et elles ne tirent pas de nouvelles données du Web. Entrez les plugins, qui ajoutent des fonctionnalités mais ne sont disponibles que pour les personnes qui paient pour accéder à GPT-4, la version mise à jour du modèle d’OpenAI.

Depuis qu’OpenAI a lancé des plugins pour ChatGPT en mars, les développeurs se sont précipités pour créer et publier des plugins qui permettent au chatbot de faire beaucoup plus. Les plugins existants vous permettent de rechercher des vols et de planifier des voyages, et permettent à ChatGPT d’accéder et d’analyser du texte sur des sites Web, des documents et des vidéos. D’autres plugins sont plus spécialisés, vous promettant la possibilité de discuter avec le manuel du propriétaire de Tesla ou de rechercher dans les discours politiques britanniques. Il existe actuellement plus de 100 pages de plugins répertoriés sur le magasin de plugins de ChatGPT.

Mais au milieu de l’explosion de ces extensions, les chercheurs en sécurité disent qu’il y a des problèmes avec la façon dont les plugins fonctionnent, ce qui peut mettre les données des gens en danger ou potentiellement être abusé par des pirates malveillants.

Johann Rehberger, directeur de l’équipe rouge chez Electronic Arts et chercheur en sécurité, a documenté les problèmes avec les plugins de ChatGPT pendant son temps libre. Le chercheur a documenté comment les plugins ChatGPT pourraient être utilisés pour voler historique de chat de quelqu’unobtenir informations personnelles et permettre l’exécution de code à distance sur la machine de quelqu’un. Il s’est principalement concentré sur les plugins qui utilisent OAuth, une norme Web qui vous permet de partager des données entre des comptes en ligne. Rehberger dit qu’il a été en contact privé avec environ une demi-douzaine de développeurs de plugins pour soulever des problèmes, et a contacté OpenAI une poignée de fois.

« ChatGPT ne peut pas faire confiance au plugin », déclare Rehberger. « Il ne peut fondamentalement pas faire confiance à ce qui revient du plugin car cela pourrait être n’importe quoi. » Un site Web ou un document malveillant pourrait, grâce à l’utilisation d’un plug-in, tenter de lancer une attaque par injection rapide contre le grand modèle de langage (LLM). Ou cela pourrait insérer des charges utiles malveillantes, dit Rehberger.

Les données pourraient également être volées via contrefaçon de demande de plugin croisé, explique le chercheur. Un site Web pourrait inclure une injection rapide qui oblige ChatGPT à ouvrir un autre plugin et à effectuer des actions supplémentaires, ce qu’il a montré via un preuve de concept. Les chercheurs appellent cela « chaînage », où un plugin en appelle un autre pour fonctionner. « Il n’y a pas de véritables limites de sécurité » dans les plugins ChatGPT, déclare Rehberger. « Ce n’est pas très bien défini, ce que la sécurité et la confiance, quelles sont les responsabilités réelles [are] de chaque partie prenante.

Depuis leur lancement en mars, les plugins de ChatGPT sont en version bêta, essentiellement une première version expérimentale. Lors de l’utilisation de plugins sur ChatGPT, le système avertit que les gens doivent faire confiance à un plugin avant de l’utiliser, et que pour que le plugin fonctionne, ChatGPT peut avoir besoin d’envoyer votre conversation et d’autres données au plugin.

Niko Felix, porte-parole d’OpenAI, a déclaré que l’entreprise s’efforçait d’améliorer ChatGPT contre les « exploits » susceptibles d’entraîner des abus de son système. Il examine actuellement les plugins avant qu’ils ne soient inclus dans son magasin. Dans un article de blog en juin, la société a déclaré avoir vu des recherches montrant comment « des données non fiables provenant de la sortie d’un outil peuvent demander au modèle d’effectuer des actions involontaires ». Et qu’il encourage les développeurs à faire en sorte que les utilisateurs cliquent sur les boutons de confirmation avant que les actions ayant un « impact réel », telles que l’envoi d’un e-mail, ne soient effectuées par ChatGPT.