ChatGPT在过去的八个月中给数百万人留下了深刻的印象,它可以生成逼真的文本,从故事到代码应有尽有。然而,这个由OpenAI开发的聊天机器人在能力上仍然相对有限。
ChatGPT是一个大型语言模型(LLM),它从用户那里接收“提示”并生成相关的文本。这些回应部分是从2021年9月的互联网数据中获取的,它不会从网络中获取新的数据。插件是为ChatGPT增加功能的一种方式,但只有付费访问GPT-4的用户才能使用,GPT-4是OpenAI模型的升级版本。
自从OpenAI在三月份推出了ChatGPT插件以来,开发者们一直在竞相创建和发布插件,让聊天机器人能够做更多的事情。现有的插件可以让你搜索航班和计划旅行,使ChatGPT能够访问和分析网站、文档和视频中的文本。其他插件则更为专业,承诺你可以与特斯拉的用户手册进行对话或搜索英国的政治演讲。目前,在ChatGPT的插件商店上列出了100多页的插件。
然而,在这些扩展中,安全研究人员表示插件的运行方式存在一些问题,可能会使人们的数据面临风险,或者被恶意黑客滥用。
Electronic Arts的红队主管兼安全研究员Johann Rehberger一直在记录ChatGPT插件的问题。他记录了ChatGPT插件如何被用来窃取他人的聊天历史、获取个人信息,并允许在他人的设备上远程执行代码。他主要关注使用OAuth的插件,OAuth是一种允许你在在线账户之间共享数据的网络标准。Rehberger表示,他已经私下与大约六个插件开发者联系,提出了问题,并与OpenAI联系了几次。
Rehberger说:“ChatGPT不能信任插件。它基本上不能信任插件返回的内容,因为它可能是任何东西。”通过使用插件,恶意网站或文档可以尝试对大型语言模型(LLM)进行提示注入攻击。Rehberger说,它还可以插入恶意载荷。
Contrast Security的首席产品官Steve Wilson说:“你可能会把它当作通往王国的钥匙-访问你的数据库和其他系统。”
研究人员表示,数据还可能通过插件间请求伪造被窃取。一个网站可以包含一个提示注入,使ChatGPT打开另一个插件并执行额外的操作,这是通过概念验证证明的。研究人员称之为“链式调用”,一个插件调用另一个插件来操作。Rehberger说,在ChatGPT插件中,“没有真正的安全边界”。
ChatGPT的插件目前处于测试阶段,基本上是一个早期的实验版本。在使用ChatGPT的插件时,系统会提醒人们在使用之前要信任插件,并且为了使插件正常工作,ChatGPT可能需要将你的对话和其他数据发送给插件。
OpenAI发言人Niko Felix表示,该公司正在努力改进ChatGPT,以防止其系统被滥用。他们目前会在将插件列入商店之前对其进行审核。在六月份的一篇博文中,该公司表示,他们已经看到了研究结果,显示“来自工具输出的不受信任的数据可能会指示模型执行意外的操作。”并且鼓励开发者在ChatGPT执行“对现实世界产生影响”的操作之前让人们点击确认按钮,比如发送电子邮件。