Chatbot: attacco side channel per leggere le risposte

Chatbot: attacco side channel per leggere le risposte

Un gruppo di ricercatori ha descritto una tecnica side channel che permette di leggere le risposte dei chatbot IA anche se il traffico viene cifrato.
Chatbot: attacco side channel per leggere le risposte
Un gruppo di ricercatori ha descritto una tecnica side channel che permette di leggere le risposte dei chatbot IA anche se il traffico viene cifrato.

Un gruppo di ricercatori ha scoperto che è possibile leggere le risposte cifrate dei chatbot, sfruttando la tecnica del side channel. Ciò avviene intercettando i pacchetti di dati scambiati tra gli assistenti digitali e l’utente. Il problema di sicurezza riguarda quasi tutti i modelli IA, ad eccezione di Google Gemini.

Rischio per la privacy

Molti utenti chiedono informazioni molto personali ai chatbot, quindi le aziende che forniscono il servizio cercano di proteggere i dati tramite crittografia. I ricercatori della Ben-Gurion University (Israele) hanno scoperto che un attacco side channel permette di dedurre l’argomento per il 55% delle risposte e le parole esatte nel 29% dei casi, nonostante l’uso della crittografia.

Per intercettare il traffico tra chatbot e utente è sufficiente una connessione alla stessa rete LAN o Wi-Fi, ma lo “spionaggio” potrebbe funzionare anche da Internet. Il “canale laterale” per ottenere le informazioni è rappresentato dai token che l’assistente usa quando risponde alle query.

Quasi tutti i chatbot, ad eccezione di Google Gemini, inviano i token in tempo reale, in modo da fornire risposte più veloci (parola per parola). Ciò permette di effettuare un attacco denominato “token-length sequence” dai ricercatori. La lunghezza del token (identica sia in forma cifrata che in chiaro) corrisponde alla lunghezza della stringa di caratteri.

Analizzando la sequenza di ciascuna lunghezza del token è possibile dedurre tutte le potenziali frasi che le parole in quell’ordine potrebbero comporre. Utilizzando due LLM (Large Language Model), i ricercatori hanno ridotto il numero di possibilità, considerando che i chatbot ripetono spesso le stesse frasi.

Le soluzioni consigliate dai ricercatori sono due: inviare i token tutti in una volta (come Gemini) o aggiungere spazi casuali ai pacchetti per ottenere lunghezze variabili dei token. Quest’ultimo approccio è stata già adottato da OpenAI.

Fonte: ArsTechnica
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
15 mar 2024
Link copiato negli appunti