ChatGPT在新的更新后存在可怕的安全风险你的数据安全吗?
「ChatGPT更新后的安全风险是否会威胁您的数据安全?」
由于像Code Interpreter这样的ChatGPT新更新,OpenAI的普及生成式人工智能中存在更多的安全问题。根据安全专家Johann Rehberger的研究(以及Tom’s Hardware的后续工作),ChatGPT存在明显的安全漏洞,这些漏洞源自其新的文件上传功能。
来自Tom’s Hardware的后续工作,OpenAI最近对ChatGPT Plus进行的更新添加了许多新功能,包括DALL-E图像生成和Code Interpreter,该功能允许执行Python代码和文件分析。代码在一个沙盒环境中创建和运行,但不幸的是,该环境容易受到提示注入攻击。
ChatGPT中已知的一个漏洞,攻击涉及引诱ChatGPT执行来自第三方URL的指令,导致其将上传的文件编码为URL友好的字符串,然后将这些数据发送到恶意网站。虽然此类攻击的可能性需要特定条件(例如,用户必须主动将恶意URL粘贴到ChatGPT中),但风险仍然令人关注。这种安全威胁可以通过各种情况实现,包括信任的网站被恶意提示操纵,或者通过社会工程学策略。
Tom’s Hardware进行了一些令人印象深刻的工作,测试了用户对此类攻击的脆弱性。通过创建一个虚假的环境变量文件,并使用ChatGPT处理并无意中将此数据发送到外部服务器来测试这个漏洞。尽管漏洞的有效性在不同的会话中有所差异(例如,ChatGPT有时会拒绝加载外部页面或传输文件数据),但它引起了重大的安全担忧,特别是考虑到人工智能能够读取和执行Linux命令,并在基于Linux的虚拟环境中处理用户上传的文件。
正如Tom’s Hardware在其调查结果中所述,尽管看起来不太可能,但这种安全漏洞的存在非常重要。ChatGPT理想情况下不应该执行外部网页的指令,但它实际上执行了。ENBLE联系了OpenAI以便发表评论,但OpenAI并未立即回复我们的请求。
