在过去的八个月里,ChatGPT以其生成逼真文本的能力给数百万人留下了深刻的印象,它可以编写从故事到代码的所有内容。但是这个由OpenAI开发的聊天机器人的功能仍然相对有限。
大型语言模型(LLM)从用户那里获取“提示”,用来生成表面上相关的文本。这些回答部分是根据2021年9月从互联网上抓取的数据创建的,并且没有从网络上提取新数据。插件可以增加功能,但只对付费使用GPT-4 (OpenAI模型的更新版本)的人开放。
自从OpenAI在3月份推出ChatGPT插件以来,开发人员竞相创建和发布插件,使聊天机器人能够做更多的事情。现有的插件可以让你搜索航班和计划旅行,并使ChatGPT可以访问和分析网站、文档和视频中的文本。其他插件则更小众,承诺你可以与特斯拉车主手册聊天,或者搜索英国的政治演讲。目前,ChatGPT的插件商店中列出了超过100页的插件。
但在这些扩展爆炸式增长的同时,安全研究人员表示,插件的操作方式存在一些问题,可能会使人们的数据处于危险之中,或者可能被恶意黑客滥用。
电子艺界红队主管兼安全研究员约翰·雷伯格(Johann Rehberger)在业余时间一直在记录ChatGPT插件的问题。研究人员已经记录了ChatGPT插件如何被用来窃取某人的聊天记录,获取个人信息,并允许代码在某人的机器上远程执行。他主要专注于使用OAuth的插件,OAuth是一种网络标准,允许你在在线账户之间共享数据。Rehberger说,他已经私下联系了大约六个插件开发人员提出问题,并与OpenAI联系了几次。
“ChatGPT不能信任插件,”Rehberger说。“从根本上说,它不能相信从插件返回的东西,因为它可能是任何东西。”恶意网站或文档可以通过使用插件,尝试对大型语言模型(LLM)运行提示注入攻击。Rehberger说,或者它可以插入恶意的有效载荷。
“你可能会给它打开王国的钥匙——访问你的数据库和其他系统。”
Steve Wilson是Co .的首席产品官
ntrast安全
研究人员表示,数据也可能通过跨插件请求伪造被窃取。一个网站可以包含一个提示注入,使ChatGPT打开另一个插件并执行额外的操作,他已经通过概念验证展示了这一点。研究人员称之为“连锁”,即一个插件调用另一个插件来运行。在ChatGPT插件中“没有真正的安全边界”,Rehberger说。“每个利益相关者的安全和信任、实际责任都没有很好地定义。”
自从三月份发布以来,ChatGPT的插件一直处于beta阶段,本质上是一个早期的实验版本。当在ChatGPT上使用插件时,系统会警告人们在使用插件之前应该信任它,并且为了让插件工作,ChatGPT可能需要将您的对话和其他数据发送给插件。
OpenAI发言人尼科·菲利克斯(Niko Felix)表示,该公司正在努力改进ChatGPT,防止可能导致其系统被滥用的“漏洞利用”。它目前在插件包含在其商店之前对其进行审查。在6月份的一篇博客文章中,该公司表示,它已经看到研究表明,“来自工具输出的不可信数据如何指导模型执行意想不到的操作”。它鼓励开发人员让人们在ChatGPT完成具有“现实影响”的操作之前点击确认按钮,比如发送电子邮件。
“虽然ChatGPT插件是在OpenAI外部开发的,但我们的目标是提供一个用户可以信任的第三方插件库,”Felix说,并补充说,它正在“探索”如何让插件对使用它们的人更安全。“例如,如果用户打算让插件采取重大行动,就可以更容易地提供用户确认流程。”OpenAI已经删除了至少一个插件——它在开发者的GitHub页面上创建条目而没有征求用户的许可——因为它违反了在采取行动之前需要确认的政策。
与苹果和谷歌的应用商店不同,ChatGPT的插件库目前似乎没有列出插件背后的开发者,也没有提供有关他们如何使用插件收集的任何数据的任何信息。根据OpenAI的指导,创建插件的开发人员必须遵循其内容指南,并提供一个清单文件,其中包括插件创建者的联系信息,以及其他细节。在ChatGPT中搜索并打开插件时,只显示其名称、简短描述和徽标。(一个独立的第三方网站会显示更多信息)。
当OpenAI在3月份推出插件时,研究人员警告了潜在的安全风险以及将GPT-4连接到网络的影响。然而,插件的问题并不局限于OpenAI和ChatGPT。类似的风险也适用于任何法学硕士或连接到网络的生成式人工智能系统。将来,插件可能会在人们使用法学硕士的方式中发挥重要作用。在OpenAI上投入巨资的微软表示,它将使用与ChatGPT相同的插件创建标准。微软首席技术官凯文·斯科特(Kevin Scott)在5月份表示:“我认为,最终会出现一个非常丰富的插件生态系统。”
微软负责人工智能安全的副总裁Chang Kawaguchi表示,该公司正在采取“迭代”的方式,在其人工智能辅助工具Copilot中推出对插件的支持。Kawaguchi说:“我们将把现有的发布、验证、认证、部署和管理产品集成的流程扩展到插件,以确保微软Copilots的客户完全控制他们的插件、他们可以访问的数据以及授权部署它们的人。”他补充说,公司将记录安全指南,并与外部研究人员合作解决他们发现的问题。
围绕插件的许多问题——更广泛地说,法学硕士——都与信任有关。这包括人们是否可以信任他们的私人和公司数据,以及是否采取了控制和措施来确保移交的数据不会被不当使用或访问。
Contrast Security首席产品官史蒂夫?威尔逊(Steve Wilson)表示:“你可能给了它打开王国的钥匙——进入你的数据库和其他系统的权限。”他领导了一个详细介绍法学硕士安全风险的项目。据项目协调员Wilson介绍,大约450名安全和人工智能专家聚集在一起,列出了法学硕士面临的十大安全威胁,这是开放全球应用程序安全项目(OWASP)的一部分。
他说,随着开发人员急于创建基于llm的应用程序和服务,这种努力是存在的。但目前,关于他们需要做些什么来确保他们所做的事情,几乎没有指导。最大的威胁被列为即时注入攻击(恶意数据试图控制人工智能系统),但也包括数据中毒和供应链漏洞。该列表还将插件列为安全风险。
OWASP的研究人员列出了六种可能攻击LLM插件的方法。其中包括通过插件和SQL攻击使用的恶意url,以及允许插件在未经验证的情况下执行操作。该组织指出,开发人员应该采取无数步骤来避免风险,包括确保适当的身份验证存在,并防止“敏感插件在任何其他插件之后被调用”。
威尔逊说,总的来说,他会告诉任何使用公共法学硕士的人,要“非常小心”他们输入的信息。威尔逊说:“你不一定确定这些东西会如何被使用、保存,甚至可能被反刍到其他地方。”“当然,这些插件增加了另一个层次的曝光率。保护这些东西的艺术几乎没有被理解,因此真正保护它们的能力还不存在。”
