OpenAI ha risolto una vulnerabilità nei GPTs che può essere sfruttata per esfiltrare i dettagli delle conversazioni. Il ricercatore Johann Rehberger (scopritore del bug) ha però notato che il fix è parziale e che le app iOS/Android sono ancora vulnerabili. I GPTs sono versioni personalizzate del chatbot che possono essere utilizzate per eseguire specifiche attività (il relativo store verrà aperto nel 2024).
I GPTs possono rubare i dati
Il ricercatore ha creato un GPT custom, denominato The Thief!, che chiede all’utente di giocare a tris, ma prima è necessario fornire alcuni dati, come indirizzo email e password. Queste informazioni e altre inserite durante la conversazione vengono inviate ad un server esterno, sfruttando un image rendering markdown durante un attacco prompt injection, come si può vedere nel video.
Dato che i GPTs verranno pubblicati sul GPT Store, gli utenti rischiano di usare un chatbot “ladro” che può raccogliere vari tipi di dati, tra cui timestamp, user ID, session ID, indirizzo IP e user agent. La vulnerabilità è stata segnalata ad aprile e novembre 2023. Il ricercatore ha scoperto che OpenAI ha implementato alcune mitigazioni, ma il fix è incompleto.
Quando il server restituisce il tag dell’immagine con un hyperlink, il client web del chatbot effettua un controllo prima della visualizzazione dell’immagine. Dato che il codice non è open source, il ricercatore non conosce i dettagli del fix. In alcuni casi però le richieste sono accettate e quindi è ancora possibile inviare dati a server di terze parti. Inoltre, le app iOS e Android rimangono vulnerabili perché il fix è lato client e non lato server.