חוקרים חשפו סדרת חולשות מסוכנות ב-ChatGPT

חוקרים חשפו סדרת חולשות מסוכנות בדגמי ChatGPT-4o ו-5 של כלי הבינה המלאכותית היוצרת מבית OpenAI. לפי חוקרי טנאבל, שמצאו אותן באחרונה, החולשות עלולות לחשוף משתמשים לפגיעה חמורה בפרטיות.

החולשות, שחוקרי טנאבל מכנים HackedGPT, כוללות הזרקת פקודות נסתרות ואיומים שמוטמעים בזיכרון לטווח הארוך של הבינה המלאכותית, תוך עקיפה של מנגנוני האבטחה המובנים. בשל כך, ציינו החוקרים, "תוקפים עלולים לגנוב מידע אישי, להשיג גישה לשיחות שמורות ולחדור לחשבון המשתמש – וזאת בלא שהוא יבחין בכך".

החוקרים מצאו כי הפגיעויות הן קריטיות, ועלולות להביא לקצירת נתונים ולגניבה שלהם, תוך עקיפת כלי אבטחה ויוכלת פריצה מתמשכת בתוך ChatGPT.

שבע פגיעויות וטכניקות תקיפה

עורכי המחקר גילו שבע פגיעויות וטכניקות תקיפה כשבדקו את ChatGPT-4o, וכמה מהן נמצאו מאוחר יותר גם ב-ChatGPT-5. פגמים אלה חושפים את המשתמשים לסיכוני פרטיות, על ידי עקיפת מנגנוני אבטחה ובטיחות מובנים. בעוד ש-OpenAI תיקנה חלק מהבעיות שזוהו, אחרות לא טופלו בזמן הפרסום – מה שהשאיר נתיבי חשיפה מסוימים פתוחים. החוקרים הזהירו שאם ינוצלו, "הן עלולות לאפשר לתוקפים לגנוב בסתר נתונים אישיים, כולל צ'טים וזיכרונות מאוחסנים".

"הפגיעויות חושפות סוג חדש של מתקפת בינה מלאכותית, שנקראת הזרקת הנחיה עקיפה (או הזרקת פקודה נסתרת – Indirect Prompt Injection). בסוג מתקפה זה, הוראות נסתרות באתרים חיצוניים, או בהערות, יכולות להערים על המודל לבצע פעולות לא מורשות. פגמים אלה משפיעים על תכונות הגלישה והזיכרון באינטרנט של ChatGPT, המעבדות נתוני אינטרנט חיים ומאחסנות מידע על משתמשים, ויוצרות הזדמנויות למניפולציה ולחשיפת נתונים", כתבו החוקרים.

אולם, הם ציינו כי "מדאיגה עוד יותר היא טכניקה שנקראת 'הזרקת זיכרון מתמשכת', שבה הוראות מזיקות נשמרות בזיכרון לטווח ארוך של ChatGPT ונשארות פעילות גם לאחר שהמשתמש סוגר את האפליקציה. כך התוקפים יכולים לשתול איומים מתמשכים, שעלולים לחשוף מידע פרטי בהפעלות עתידיות".

"חולשות שנראות קטנות, אבל מייצרות שרשרת תקיפה שלמה"

לדבריהם, "כלל החולשות מעידות כיצד תוקפים יכולים לעקוף את אמצעי ההגנה של OpenAI ולגשת להיסטוריה הפרטית של המשתמשים". החוקרים הוסיפו כי "כאשר הן מופיעות בנפרד, החולשות נראות קטנות – אבל יחד הן יוצרות שרשרת תקיפה שלמה, מהזרקה והתחמקות ועד גניבת נתונים והתמדה. זו עוד עדות לכך שמערכות בינה מלאכותית הן לא רק מטרות פוטנציאליות; ניתן להפוך אותם לכלי תקיפה שאוספים בשקט מידע מצ'אטים יומיומיים, או מגלישה".

"מאות מיליוני אנשים משתמשים ב-ChatGPT מדי יום לעסקים, מחקר ותקשורת אישית", כתבו חוקרי טנאבל. "אם החולשות ינוצלו, הן עלולות להכניס פקודות נסתרות לשיחות, או לזיכרונות לטווח ארוך; לגנוב נתונים רגישים מהיסטוריית צ'אטים, או משירותים מחוברים כמו גוגל דרייב; לחלץ מידע באמצעות גלישה ואינטגרציות אינטרנט; או לתמרן תגובות כדי להפיץ מידע מטעה או להשפיע על משתמשים".

טנאבל עדכנה את OpenAI בממצאים וזו תיקנה חלק מהפגיעויות שזוהו, אך, כאמור, כמה נותרו פעילות ב-ChatGPT-5, או שלא טופלו בזמן הפרסום.

"חובה להתייחס לכלי AI כאל משטחי תקיפה חיים"

החוקרים ציינו כי "חובה להתייחס לכלי AI כאל משטחי תקיפה חיים, לא כעוזרים פסיביים. יש לבצע ביקורת וניטור של שילובי בינה מלאכותית, כדי לאתר מניפולציה או דליפת נתונים. חשוב לבדוק בקשות או פלטים חריגים, שעלולים לאותת על הזרקה מהירה של קוד זדוני. יש לבדוק ולחזק הגנות, לערוך בקרות ולסווג נתונים המיועדים לשימוש בבינה מלאכותית".

"המחקר הזה לא עוסק רק בחשיפת פגמים – אלא בשינוי האופן שבו אנו מאבטחים בינה מלאכותית", סיכמו בטנאבל. "אנשים וארגונים כאחד צריכים להניח שניתן לתמרן כלי AI, ולכן צריך לעצב בקרות בהתאם: פיקוח, הגנות על נתונים ובדיקות מתמשכות. זאת, כדי לוודא שהמערכות הללו עובדות עבורנו, לא נגדנו".