ChatGPT ha integrado en la vida cotidiana de millones de usuarios, quienes lo emplean para diversas tareas, desde prepararse para entrevistas laborales hasta sintetizar reuniones. Sin embargo, la exposición de las conversaciones es una preocupación latente. Desde hace tiempo, se sabe que OpenAI utiliza los diálogos para mejorar sus modelos de inteligencia artificial, a menos que se desactive el historial de chats o se opte por la versión de pago, ChatGPT Enterprise.
Esta práctica implica que ciertos empleados de OpenAI puedan acceder a las conversaciones por razones técnicas o de seguridad. Por esta razón, es crucial evitar compartir información confidencial. Un ejemplo notorio es la decisión de Samsung de prohibir el uso de ChatGPT entre sus empleados. Además, existen otras formas en las que las conversaciones pueden caer en manos de terceros, como los ciberdelincuentes.
Uno de los riesgos más destacados es el potencial de ciberataques que comprometen la seguridad de ChatGPT. Imagina encontrarte en un café utilizando ChatGPT desde tu portátil conectado a una red WiFi pública. En este escenario, un atacante podría aprovechar ciertos elementos disponibles para intentar deducir las respuestas del chatbot sin tu conocimiento.
Un estudio del Laboratorio de Investigación de IA Ofensiva de la Universidad Ben-Gurion en Israel detalla un proceso de ataque en cuatro pasos:
- Interceptación del tráfico de la víctima.
- Filtrado de los paquetes para identificar las respuestas de ChatGPT.
- Revelación de la longitud de los tokens.
- Inferencia de la respuesta de ChatGPT utilizando un Modelo de Lenguaje Largo (LLM).
Los usuarios de ChatGPT pueden observar que el chatbot envía respuestas progresivamente. Esto se debe a que el modelo, ya sea GPT-3.5 o GPT-4, transmite los tokens a medida que los genera. Aunque esta transmisión está cifrada, abre la puerta a ataques de canal lateral que pueden revelar la longitud de los tokens para inferir información.
El desafío para el atacante es interceptar los datos entre los servidores de OpenAI y el dispositivo del usuario, lo que se puede lograr con un ataque del tipo Man-in-the-Middle. Una vez comprometida la seguridad de la red, el atacante filtra el tráfico por dirección IP y analiza los paquetes para detectar un patrón incremental relacionado con las respuestas de ChatGPT. Luego, puede identificar la longitud de los tokens utilizando los tamaños de los paquetes observados anteriormente.
La dificultad radica en que un token puede representar desde un solo carácter hasta un conjunto de palabras. Por lo tanto, se requiere un LLM para interpretar y predecir con precisión las respuestas generadas por ChatGPT. Según los investigadores, este método fue capaz de inferir el 55% de todas las respuestas con alta precisión, y el 29% de ellas tuvieron una precisión perfecta en las pruebas.
Aunque este tipo de ataque demanda elementos sofisticados para su ejecución, es esencial estar consciente del nivel de exposición de nuestros datos. Cabe destacar que esta técnica no se limita a ChatGPT, sino que también afecta a otros bots de inteligencia artificial que envían tokens de manera secuencial, como Copilot. Por su arquitectura diferente, Gemini de Google no es susceptible a este tipo de ataque.
