בפרומפט אחד: פרצת האבטחה שהתגלתה ב-ChatGPT

פרצת אבטחה שהתגלתה על ידי חוקרי צ'ק פוינט אפשרה בעבר להדליף מידע מתוך שיחות עם ChatGPT, מבלי שהמשתמש יבחין בכך. באמצעות פרומפט זדוני ושיטה המכונה DNS tunneling ניתן היה תאורטית להעביר החוצה הודעות, קבצים ותובנות שנוצרו בשיחה. הפרצה דווחה ל-OpenAI ותוקנה בפברואר, ולפי החוקרים אין עדות שנוצלה בפועל. הם מזהירים: אל תניחו שכלי AI מאובטחים כברירת מחדל

דיגיטל

mako

פורסם: 30.03.26, 18:00

ChatGPT | צילום: Tada Images, shutterstock

מה קורה כששיחה רגילה עם בינה מלאכותית הופכת, מבלי שנדע, לצינור שמעביר את המידע הפרטי שלנו לגורמים זרים? מחקר חדש של חברת צ'ק פוינט חושף שעד לאחרונה, התרחיש הזה לא היה רק בגדר תיאוריה, אלא מציאות אפשרית.

החוקרים מצאו פרצת אבטחה שאפשרה לדלות מידע רגיש מתוך שיחות שניהלנו עם המערכת - וכל זה בלי שהמשתמש ירגיש או יקבל התרעה על כך שמשהו חריג קורה. לשמחתנו, הבעיה דווחה לחברת OpenAI, הבעלים של ChatGPT, ותוקנה לחלוטין ב-20 בפברואר, ונכון לעכשיו אין סימנים לכך שמישהו באמת הספיק לנצל אותה לרעה.

איך זה עבד?

בדרך כלל, ל-ChatGPT יש מנגנוני הגנה שאמורים למנוע מהמידע שלנו לדלוף: המערכת פועלת ב"סביבה מבודדת", אין לה גישה ישירה ופתוחה לאינטרנט, ואם היא רוצה להשתמש בשירות חיצוני כלשהו היא חייבת להיות שקופה ולבקש מאיתנו אישור מפורש.

אבל החוקרים מצאו דרך מתוחכמת לעקוף את החומות האלה. הם השתמשו במערכת בסיסית שנקראת DNS, שהופכת שמות של אתרים לכתובות IP. מתברר שלמרות שהרשת החיצונית הייתה חסומה לבינה המלאכותית, שירות ה-DNS היה חייב להישאר פעיל כדי שהמערכת תעבוד כראוי. התוקפים גילו שהם יכולים לקודד את המידע שלנו בתוך הבקשות התמימות האלה, ולהעביר אותו החוצה בשיטה שנקראת "tunneling DNS". מכיוון שהמערכת לא מזהה את הפעולה הזו כהוצאת מידע, שום דגל אדום לא מופעל ואין שום חלון שקופץ ומבקש אישור לעשות זאת.

פרסומת

מספיק משפט אחד כדי לגנוב את המידע

לפי הממצאים, מספיק היה להזין פרומפט זדוני אחד כדי לשנות את כל אופן הפעולה של השיחה. משתמשים רבים נוהגים להעתיק הוראות כאלה מהאינטרנט (מבלוגים, פורומים או רשתות חברתיות) כדי לקבל תשובות טובות יותר מצ'אט, ולכן הוראה זדונית שמוצגת כהמלצה תמימה באינטרנט לא מעוררת חשד.

ברגע שההוראה הזו הוזנה, כל מה שנכתב בשיחה, הודעות, קבצים שהעלינו ואפילו סיכומים שהמערכת בעצמה כתבה, יכול היה להיות מועבר החוצה בשקט. התוקפים אפילו לא היו צריכים להעתיק מסמכים ארוכים ושלמים; הם יכלו פשוט לבקש מהמערכת להעביר אליהם רק את הסיכומים והתובנות המרכזיות, שהם הרבה פעמים המידע החשוב והרגיש ביותר שלנו.

הסכנה גדולה עוד יותר כשמשתמשים ב-"GPT מותאם אישית" (גרסאות מיוחדות של GPT שאנשים אחרים הכינו מראש למטרות מסוימות, למשל כדי לשמש כמורה לגיטרה או כעוזר אישי). במקרה כזה, התוקף יכול להחביא את מנגנון הגניבה מראש בתוך הכלי עצמו.

החוקרים הדגימו זאת כשיצרו GPT שהתחזה לרופא אישי. משתמש תמים נתן ל"רופא" תוצאות של בדיקות רפואיות וקיבל ממנו ניתוח רפואי שנראה רגיל לחלוטין. כשהמשתמש שאל את הבוט אם המידע שלו הועבר למישהו אחר, הבוט שיקר והשיב בשלילה. בפועל, כל הנתונים, כולל פרטי הזיהוי והמחלות של המשתמש, נשלחו לשרת של התוקפים. בנוסף לגניבת המידע, פרצת האבטחה הזו אפשרה לתוקפים גם "גישת שליטה" (אפשרות לתת פקודות למחשב של המערכת מרחוק, ממש כמו שלט רחוק נסתר) מבלי שאף אחד יוכל לראות זאת.

פרסומת

השורה התחתונה של החוקרים היא אל תסמכו על AI בעיניים עצומות. אלי סמדג'ה, מנהל תחום המודיעין הארגוני בצ'ק פוינט, מסביר שהמחקר מוכיח עד כמה קל להפוך שיחה רגילה לערוץ חשאי להדלפת מידע.

"זה מחזק אמת לא נוחה בעידן ה-AI: אסור להניח שכלי AI מאובטחים כברירת מחדל. ככל שהפלטפורמות הללו הופכות לסביבות מחשוב מלאות שמטפלות במידע הרגיש ביותר שלנו, מנגנוני ההגנה המובנים כבר אינם מספקים לבדם. ארגונים צריכים נראות עצמאית ושכבות הגנה נוספות בין עצמם לבין ספקי ה-AI".

ChatGPT OpenAI בינה מלאכותית צ'אטבוט צ'ק פוינט

מצאתם טעות לשון?