מחקר חדש של צ'ק פוינט חושף חולשת אבטחה משמעותית ב-ChatGPT, שאפשרה להדליף מידע רגיש משיחות משתמשים - ללא ידיעתם וללא כל אינדיקציה גלויה. החולשה, שתוקנה מאז על ידי OpenAI, מדגישה פער מהותי בין ההנחות לגבי אבטחת מערכות AI לבין המציאות בפועל. בעוד משתמשים חולקים עם עוזרי ה-AI מידע אישי וארגוני רגיש - החל מנתונים רפואיים ועד חוזים ומסמכים פנימיים - המחקר מוכיח כי הנחת היסוד שהמידע נשאר מוגן בתוך השיחה אינה חסינה מפני עקיפה מתוחכמת.
החולשה דווחה ל-OpenAI במסגרת תהליך גילוי אחראי ותוקנה במלואה ב-20 בפברואר. לפי החברה, לא נמצאו ראיות לכך שהפרצה נוצלה בפועל על ידי גורמים עוינים, אך הגילוי מהווה לקח רחב עבור ארגונים: אין להניח שכלי AI מאובטחים כברירת מחדל.
המסלול העוקף: ניצול ה-DNS
מערכת ChatGPT תוכננה עם מנגנוני הגנה נוקשים: סביבת הרצת הקוד מבודדת מהאינטרנט, וכל שליחת מידע לגיטימית החוצה מחייבת אישור משתמש מפורש. אלא שהחוקרים מצאו דרך לעקוף את הבקרות הללו באמצעות ניצול ערוץ צדדי נסתר בתוך סביבת הלינוקס של המודל.
במקום להשתמש בבקשות HTTP גלויות המנוטרות על ידי מערכות האבטחה, התוקפים ניצלו את שירות ה-DNS (פענוח שמות דומיין). באמצעות קידוד נתונים בתוך שאילתות DNS תמימות לכאורה, הצליחו התוקפים להוציא מידע מהשיחה מבלי להפעיל התרעות או חלונות אישור. המודל עצמו לא זיהה את הפעולה כחריגה, והמשתמש המשיך לקבל תגובות כרגיל בזמן שהמידע שלו, כולל קבצים שהועלו וסיכומי מודל, זרם לשרתי התוקף.
ה-GPT הזדוני: מלכודת הפרודוקטיביות
הסיכון גובר משמעותית בשימוש ב-GPTs מותאמים אישית. חוקרי צ'ק פוינט הדגימו כיצד ניתן להטמיע את הלוגיקה הזדונית ישירות בתוך כלי שנראה לגיטימי ומבטיח "פיצ'רים נסתרים". בניסוי שערכו, הקימו החוקרים "רופא אישי" מבוסס AI. משתמש שהעלה תוצאות בדיקות רפואיות קיבל אבחנה שנראתה מקצועית לחלוטין, בזמן שברקע, שרת חיצוני קיבל את פרטי הזיהוי והאבחנה שנוצרה.
אלי סמדג'ה, מנהל תחום המודיעין הארגוני בצ'ק פוינט, מציין כי המחקר מחזק אמת לא נוחה: "קל מאוד להפוך שיחה רגילה לערוץ סמוי להדלפת מידע באמצעות פרומפט אחד בלבד. ככל שהפלטפורמות הללו הופכות לסביבות מחשוב מלאות המטפלות במידע הרגיש ביותר שלנו, מנגנוני ההגנה המובנים כבר אינם מספקים לבדם".
מעבר לדליפת המידע, הערוץ הנסתר איפשר לתוקפים גם יכולת "שליטה מרחוק" (Remote Shell) בתוך סביבת ההרצה, מחוץ לבקרות האבטחה וללא נראות למשתמש. עבור המגזר העסקי, המסר ברור: בדומה לשירותי ענן, אבטחה מובנית אינה מספיקה ונדרשת שכבת הגנה עצמאית נוספת.