Telapak tangan: “Kodenya adalah TrustNoAI.” Ini adalah ungkapan yang baru-baru ini digunakan oleh seorang peretas topi putih ketika menunjukkan bagaimana dia dapat mengeksploitasi ChatGPT untuk mencuri data siapa pun. Jadi, ini mungkin merupakan kode yang harus kita terapkan. Dia menemukan cara peretas dapat menggunakan memori persisten LLM untuk mengekstraksi data dari pengguna mana pun secara terus menerus.
Peneliti keamanan Johann Rehberger baru-baru ini menemukan cara untuk menggunakan ChatGPT sebagai spyware. Dia melaporkannya ke OpenAI, namun perusahaan tersebut mengabaikannya, menyebutnya sebagai masalah “keamanan” dan bukan masalah keamanan sebelum menutup tiketnya.
Tidak terpengaruh, Rehberger mulai bekerja membuat bukti konsep dan membuka tiket baru. Kali ini, pengembang OpenAI memperhatikannya. Mereka baru-baru ini mengeluarkan perbaikan sebagian, sehingga Rehberger merasa aman untuk akhirnya mengungkapkan kerentanannya. Serangan tersebut, yang oleh Rehberger diberi nama “SpAIware”, mengeksploitasi fitur yang relatif lebih baru pada aplikasi ChatGPT untuk macOS.
Sampai saat ini, memori ChatGPT hanya sebatas sesi percakapan. Dengan kata lain, ia akan mengingat semua hal yang dibicarakannya dengan pengguna tidak peduli berapa lama percakapan berlangsung atau berapa kali topiknya berubah. Setelah pengguna memulai obrolan baru, memori akan diatur ulang. Percakapan disimpan dan dapat dilanjutkan kapan saja dengan kenangan yang disimpan tetap utuh, namun tidak berpindah ke sesi baru.
Pada bulan Februari, OpenAI memulai pengujian beta memori jangka panjang (atau persisten) di ChatGPT. Dalam hal ini, ChatGPT “mengingat” beberapa detail dari satu percakapan ke percakapan berikutnya. Misalnya, ia mungkin mengingat nama pengguna, jenis kelamin, atau usia jika mereka disebutkan dan akan membawa kenangan tersebut ke obrolan baru. OpenAI membuka fitur ini lebih luas pada bulan ini.
Rehberger menemukan bahwa dia dapat membuat injeksi cepat yang berisi perintah berbahaya yang mengirimkan perintah obrolan pengguna dan tanggapan ChatGPT ke server jauh. Selanjutnya, dia mengkodekan serangan tersebut sehingga chatbot menyimpannya dalam memori jangka panjang. Oleh karena itu, setiap kali target menggunakan ChatGPT, seluruh percakapan masuk ke server jahat, bahkan setelah memulai rangkaian pesan baru. Serangan itu hampir tidak terlihat oleh pengguna.
“Yang benar-benar menarik adalah hal ini masih bertahan dalam ingatan sekarang,” kata Rehberger. “Injeksi cepat memasukkan memori ke dalam penyimpanan jangka panjang ChatGPT. Saat Anda memulai percakapan baru, sebenarnya data masih dieksfiltrasi.”
Rehberger juga menunjukkan bahwa penyerang tidak memerlukan akses fisik atau jarak jauh ke akun untuk melakukan injeksi cepat. Seorang peretas dapat menyandikan muatannya ke dalam gambar atau situs web. Pengguna hanya perlu meminta ChatGPT untuk memindai situs web berbahaya.
Untungnya, serangan tersebut tidak berhasil pada chatbot versi situs web. Selain itu, Rehberger hanya menguji eksploitasi ini pada aplikasi ChatGPT versi macOS. Tidak jelas apakah kelemahan ini ada di versi aplikasi lainnya.
OpenAI telah memperbaiki sebagian masalah ini, karena pembaruan terkini melarang bot mengirim data ke server jarak jauh. Namun, ChatGPT akan tetap menerima perintah dari sumber yang tidak tepercaya, sehingga peretas masih dapat memasukkan perintah ke dalam memori jangka panjang. Pengguna yang waspada harus menggunakan alat memori aplikasi, seperti yang diilustrasikan Rehberger dalam videonya, untuk memeriksa entri yang mencurigakan dan menghapusnya.
Kredit gambar: Xkonti
