פרצת האבטחה שהתגלתה ב-ChatGPT. צילום: Gemini

דליפת מידע - ללא ידיעת המשתמש: פרצת האבטחה שהתגלתה ב-ChatGPT

פרצת אבטחה שהתגלתה על ידי חוקרי צ'ק פוינט אפשרה להדליף מידע מתוך שיחות מבלי שהמשתמש יבחין • באמצעות פרומפט זדוני, ניתן היה להעביר הודעות, קבצים ותובנות שנוצרו בשיחה אל מחוץ לצ'אטבוט • הפרצה דווחה ל-OpenAI ותוקנה בפברואר

שחר שפירו
, עודכן
0השמעה
[object Object]

מחקר חדש של ענקית הסייבר הישראלית צ'ק פוינט חושף פרצת אבטחה משמעותית ב-ChatGPT, שאפשרה לתוקפים להדליף מידע מתוך שיחות המשתמשים בצורה סמויה לחלוטין. הפרצה, שדווחה לחברת OpenAI ותוקנה בסוף פברואר האחרון, התבססה על ניצול מתוחכם של פרומפטים (הנחיות טקסטואליות) ושימוש בערוץ תקשורת נסתר.

איך הקסם השחור הזה עבד?

המערכת של ChatGPT פועלת לרוב ב"סביבה מבודדת", כזו שאמורה להיות מנותקת מהאינטרנט החופשי כדי למנוע דליפות. עם זאת, חוקרי צ'ק פוינט גילו "חור בקיר": שירות ה-DNS. זהו השירות הבסיסי שמתרגם שמות אתרים לכתובות IP, והוא חייב להישאר פעיל כדי שהמערכת תתפקד.

נחשפה פרצה חמורה ב-ChatGPT, צילום: צ'ק פוינט

התוקפים השתמשו בשיטה שנקראת DNS tunneling. באמצעות פרומפט זדוני אחד, הם גרמו למערכת לקודד את המידע הרגיש של המשתמש - הודעות, קבצים ותובנות שהמערכת עצמה ייצרה - בתוך שאילתות DNS שנראות תמימות לחלוטין. מכיוון שהמערכת לא זיהתה את הפעולה הזו כהוצאת מידע (Exfiltration), לא הופעלו מנגנוני הגנה, לא קפצו הודעות אזהרה, והמידע זרם ישירות לשרתי התוקפים.

אחת הנקודות המדאיגות במחקר נוגעת לשימוש ב-GPTs מותאמים אישית. תוקף יכול היה ליצור כלי שנראה לגיטימי לחלוטין - למשל עוזר רפואי או פיננסי - ולהטמיע בתוכו מראש את קוד הגניבה. במקרה כזה, המשתמש לא צריך להזין שום "קוד חשוד"; עצם השימוש בכלי הופך אותו לקורבן.

"אל תניחו שה-AI מאובטח"

החוקרים הדגימו זאת באמצעות "בוט רופא": המשתמש העלה תוצאות בדיקות רפואיות, הבוט ניתח אותן באדיבות, ובמקביל שלח את כל הנתונים הרפואיים והמזהים החוצה. כשהמשתמש שאל את הבוט אם המידע שלו מאובטח, הבוט שיקר והשיב בחיוב. מעבר לגניבת המידע, הפרצה אפשרה לתוקפים להשיג "גישת שליטה" (Remote shell) בתוך המערכת, מה שאיפשר להם לתת פקודות מרחוק מבלי להשאיר עקבות.

צ'ק פוינט, צילום: יהושע יוסף

עוד גילו החוקרים כי הפרצה לא רק מוציאה מידע, אלא מאפשרת לתוקף "להשתלט" על סביבת העבודה של הצ'אט מרחוק ולהריץ בה פקודות. מדאיג מכך הוא השימוש בהנדסה חברתית: פרומפטים זדוניים מופצים ברשת כ"קיצורי דרך" או ככלים לפתיחת יכולות פרימיום בחינם. ברגע שהמשתמש מעתיק את הפרומפט התמים למראה, המערכת מתחילה להדליף מידע - ואפילו משקרת למשתמש כשהוא שואל אותה אם המידע שלו מוגן.

למרות שהפרצה תוקנה ב-20 בפברואר ואין עדויות לכך שנוצלה בפועל בשטח, המומחים בצ'ק פוינט מזהירים מפני שאננות. "זה מחזק אמת לא נוחה בעידן ה-AI", מסבירים בחברה. "ככל שהפלטפורמות הללו הופכות לסביבות מחשוב מלאות שמטפלות במידע הרגיש ביותר שלנו, מנגנוני ההגנה המובנים כבר אינם מספקים לבדם".

השורה התחתונה ברורה: ארגונים ומשתמשים פרטיים חייבים להבין שבינה מלאכותית היא לא "קופסה סגורה" הרמטית. יש להתייחס אליה כאל כל כלי תוכנה אחר, הדורש שכבות הגנה נוספות, ערנות לתוכן שמעלים אליו, ובדיקה קפדנית של כלים חיצוניים שמותקנים עליו.

טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו
ChatGPTOpenAIפרצת אבטחהצ'ק פוינט