Desde OpenAI lanzó complementos para ChatGPT en marzo, los desarrolladores han corrido para crear y publicar complementos que permiten que el chatbot haga mucho más. Los complementos existentes le permiten buscar vuelos y planificar viajes, y hacerlo para que ChatGPT pueda acceder y analizar texto en sitios web, documentos y videos. Otros complementos son más nicho, lo que le promete la capacidad de chatear con el manual del propietario de Tesla o buscar a través de discursos políticos británicos. Actualmente hay más de 100 páginas de complementos que figuran en la tienda de complementos de ChatGPT.
Pero en medio de la explosión de estas extensiones, los investigadores de seguridad dicen que hay algunos problemas con la forma en que operan los complementos, que puede poner en riesgo los datos de las personas o potencialmente ser abusados por piratas informáticos maliciosos.
Johann Rehberger, director del equipo rojo del investigador de seguridad y artes electrónicas, ha estado documentando problemas con los complementos de ChatGPT en su tiempo libre. El investigador ha documentado cómo se podrían usar los complementos de ChatGPT para robar el historial de chat de alguien, obtener información personal y permitir que el código se ejecute de forma remota en la máquina de alguien. Se ha centrado principalmente en complementos que usan OAuth, un estándar web que le permite compartir datos en cuentas en línea. Rehberger dice que ha estado en contacto privado con alrededor de media docena de desarrolladores de complementos para plantear problemas, y se ha puesto en contacto con OpenAI varias veces.
“ChatGPT no puede confiar en el complemento” dice Rehberger. “Básicamente no puede confiar en lo que regresa del complemento porque podría ser cualquier cosa.” Un sitio web o documento malicioso podría, mediante el uso de un complemento, intentar ejecutar un ataque de inyección rápida contra el modelo de lenguaje grande (LLM). O podría insertar cargas maliciosas, dice Rehberger.
“Potencialmente le está dando las claves del acceso del reino a sus bases de datos y otros sistemas.”
STEVE WILSON, DIRECTOR DE PRODUCTO DE CONTRAST SECURITY
Los datos también podrían ser robados falsificación de solicitud de enchufe cruzado, dice el investigador. Un sitio web podría incluir una inyección rápida que haga que ChatGPT abra otro complemento y realice acciones adicionales, que ha demostrado a través de una prueba de concepto. Los investigadores llaman a esto “cadena,” donde un complemento llama a otro para operar. “No hay límites de seguridad reales” dentro de los complementos de ChatGPT, dice Rehberger. “No está muy bien definido, cuál es la seguridad y la confianza, cuáles son las responsabilidades reales [] de cada parte interesada.”
Desde su lanzamiento en marzo, los complementos de ChatGPT han estado en beta esencialmente en una versión experimental temprana. Cuando se usan complementos en ChatGPT, el sistema advierte que las personas deben confiar en un complemento antes de usarlo, y que para que el complemento funcione, ChatGPT puede necesitar enviar su conversación y otros datos al complemento.
Niko Felix, portavoz de OpenAI, dice que la compañía está trabajando para mejorar ChatGPT contra las exploits “” que pueden llevar a que su sistema sea abusado. Actualmente revisa los complementos antes de que estén incluidos en su tienda. En una publicación de blog en junio, la compañía dijo que ha visto investigaciones que muestran cómo los datos no confiables “de la salida de una herramienta pueden instruir al modelo para que realice acciones no deseadas.” Y que alienta a los desarrolladores a hacer que las personas hagan clic en los botones de confirmación antes de que ChatGPT realice acciones con “impacto en el mundo real,” como enviar un correo electrónico.
“Si bien los complementos de ChatGPT se desarrollan externamente a OpenAI, nuestro objetivo es proporcionar una biblioteca de complementos de terceros en los que nuestros usuarios puedan confiar,” Felix dice, agregando que es “explorando” formas de hacer que los complementos sean más seguros para las personas que los usan. “Por ejemplo, facilita la provisión de un flujo de confirmación del usuario si tiene la intención de que su complemento tome una acción significativa.” OpenAI tiene eliminó al menos un complemento que creó entradas en la página GitHub de un desarrollador sin pedir permiso a los usuarios’ por violar su política de requerir confirmación antes de tomar medidas.
A diferencia de las tiendas de aplicaciones de Apple y Google, La biblioteca de complementos de ChatGPT actualmente no parece enumerar los desarrolladores detrás del complemento ni proporcionar información sobre cómo pueden usar los datos recopilados que recopila el complemento. Desarrolladores creando complementos, de acuerdo con la guía de OpenAI, debe seguir sus pautas de contenido y proporcionar un archivo manifiesto, que incluye información de contacto para los creadores del complemento, entre otros detalles. Al buscar y encender un complemento en ChatGPT, solo se muestra su nombre, una breve descripción y logotipo. (Un no afiliado sitio web de terceros muestra más información).
Cuando OpenAI lanzó complementos en marzo, los investigadores advirtieron sobre riesgos potenciales de seguridad y las implicaciones de conectar GPT-4 a la web. Sin embargo, los problemas con los complementos no se limitan a OpenAI y ChatGPT. Se aplican riesgos similares a cualquier LLM o sistema de IA generativo conectado a la web. Es posible que los complementos desempeñen un papel importante en la forma en que las personas usan LLM en el futuro. Microsoft, que ha invertido mucho en OpenAI, ha dicho que utilizará los mismos estándares para la creación de complementos que ChatGPT. “Creo que eventualmente habrá un ecosistema increíblemente rico de complementos,” Kevin Scott, director de tecnología de Microsoft dijo en mayo.