Un grupo de investigadores ha descubierto que, a pesar de contar con un sistema de cifrado de extremo a extremo, los ciberdelincuentes pueden acceder a las conversaciones con los 'chatbots' ChatGPT-4 o Copilot mediante un ataque de canal lateral.
Expertos de Offensive AI Research Lab y la Universidad de Ben Gurion (Israel), han ideado un ataque de canal lateral que permite a los agentes maliciosos descifrar las respuestas que ofrecen los asistentes de Inteligencia Artificial (IA).
Para ello, se aprovechan de un canal lateral presente en Microsoft Copilot y ChatGPT-4 de OpenAI, con excepción del 'chatbot' que desarrolla Google, Gemini, según ha confirmado el jefe de este laboratorio, Yisroel Mirsky, a Ars Technica.
Un ataque de canal lateral es aquel en el que un atacante obtiene información confidencial de un sistema, como el consumo de energía del dispositivo o el tiempo de ejecución, para inferir en información confidencial, en lugar de explotar directamente las vulnerabilidades del sistema en sí.
Los investigadores, que estudian las posibilidades de la IA con fines maliciosos y ataques impulsados por esta tecnología, han descubierto como una campaña de estas características permite a los actores maliciosos leer conversaciones y respuestas de estos 'chatbots' a pesar de estar cifradas.
Para poner en evidencia la amenaza a la que se exponen estos asistentes, han gestionado campañas maliciosas contra ChatGPT-4, de OpenAI, y Copilot, de Microsoft, dirigidas tanto en tráfico del navegador como de la interfaz de programación de aplicaciones (API, por sus siglas en inglés).
En un documento conjunto, los expertos explican que existe una vulnerabilidad significativa en la forma en que los modelos de lenguaje grandes (LLM, por sus siglas en inglés) manejan la transisión de datos.
Estos generan y envían respuestas como una serie de 'tokens' secuenciales cifrados. A pesar de contar con este sistema de seguridad, podrían revelar su longitud y mostrar a los atacantes información sensible y confidencial de las conversaciones que los usuarios mantienen con estos 'chatbots'.
Para mostrar el problema que puede generar este tipo de ataques, los investigadores han capacitado a un LLM de última generación para que traduzca secuencias completas en oraciones legibles. A este, además, se le puede proporcionar un contexto de oraciones previamente inferidas.
Finalmente, los desarrolladores, que han indicado que se trata de una falla de seguridad crítica, han logrado mostrar cómo un adversario puede explotar el estilo de respuesta predecibe y la repetición de frases del LLM para refinar aún más la precisión del modelo de IA generativa.