يقع ChatGPT في مواجهة هجوم جديد لسرقة البيانات مع استمرار الحلقة المفرغة في الذكاء الاصطناعي

لمنع الهجوم، قامت OpenAI بتقييد ChatGPT بحيث يفتح فقط عناوين URL تمامًا كما هو منصوص عليه ويرفض إضافة معلمات إليها، حتى عندما يُطلب منه صراحةً القيام بخلاف ذلك. وبهذا، تم حظر ShadowLeak، نظرًا لأن LLM لم يتمكن من إنشاء عناوين URL جديدة عن طريق ربط الكلمات أو الأسماء، أو إلحاق معلمات الاستعلام، أو إدراج البيانات المشتقة من المستخدم في عنوان URL الأساسي.

كان تعديل ZombieAgent الخاص بـ Radware بسيطًا. قام الباحثون بمراجعة الحقن الفوري لتوفير قائمة كاملة بعناوين URL المعدة مسبقًا. ويحتوي كل عنوان على عنوان URL الأساسي المُلحق برقم أو حرف واحد من الحروف الأبجدية، على سبيل المثال، example.com/a، وexample.com/b، وكل حرف لاحق من الحروف الأبجدية، بالإضافة إلى example.com/0 حتى example.com/9. يطلب الموجه أيضًا من الوكيل استبدال رمز مميز للمسافات.

نجح ZombieAgent لأن مطوري OpenAI لم يقيدوا إلحاق حرف واحد بعنوان URL. وقد سمح ذلك للهجوم بتصفية البيانات حرفًا بحرف.

قامت OpenAI بتخفيف هجوم ZombieAgent عن طريق منع ChatGPT من فتح أي رابط ناشئ من بريد إلكتروني ما لم يظهر في فهرس عام معروف أو تم توفيره مباشرة من قبل المستخدم في مطالبة الدردشة. يهدف القرص إلى منع الوكيل من فتح عناوين URL الأساسية التي تؤدي إلى مجال يتحكم فيه المهاجم.

ومن باب الإنصاف، فإن OpenAI ليس وحده في هذه الدورة التي لا تنتهي من تخفيف الهجوم فقط ليتم إحياؤه من خلال تغيير بسيط. إذا كان من الممكن الاسترشاد بالسنوات الخمس الماضية، فمن المرجح أن يستمر هذا النمط إلى أجل غير مسمى، بنفس الطريقة التي تستمر بها ثغرات حقن SQL وفساد الذاكرة في تزويد المتسللين بالوقود الذي يحتاجونه لاختراق البرامج ومواقع الويب.

كتب باسكال جينينز، نائب رئيس استخبارات التهديدات في Radware، في رسالة بالبريد الإلكتروني: “لا ينبغي اعتبار الدرابزين حلولًا أساسية لمشاكل الحقن الفوري”. “بدلاً من ذلك، فهي حل سريع لوقف هجوم معين. وطالما لا يوجد حل أساسي، سيظل الحقن الفوري يمثل تهديدًا نشطًا وخطرًا حقيقيًا على المؤسسات التي تنشر مساعدين ووكلاء الذكاء الاصطناعي.”