sobre el pasado ocho meses, ChatGPT ha impresionado a millones de personas con su capacidad para generar texto de apariencia realista, escribiendo de todo, desde historias hasta código. Pero el chatbot, desarrollado por OpenAI, todavía es relativamente limitado en lo que puede hacer.
El modelo de lenguaje grande (LLM) toma «indicaciones» de los usuarios que utiliza para generar texto aparentemente relacionado. Estas respuestas se crean en parte a partir de datos extraídos de Internet en septiembre de 2021, y no obtiene nuevos datos de la web. Ingrese complementos, que agregan funcionalidad pero están disponibles solo para personas que pagan por acceder a GPT-4, la versión actualizada del modelo de OpenAI.
Desde que OpenAI lanzó complementos para ChatGPT en marzo, los desarrolladores se han apresurado a crear y publicar complementos que permitan al chatbot hacer mucho más. Los complementos existentes le permiten buscar vuelos y planificar viajes, y hacen que ChatGPT pueda acceder y analizar texto en sitios web, documentos y videos. Otros complementos son más especializados y le prometen la posibilidad de chatear con el manual del propietario de Tesla o buscar discursos políticos británicos. Actualmente hay más de 100 páginas de complementos enumerados en la tienda de complementos de ChatGPT.
Pero en medio de la explosión de estas extensiones, los investigadores de seguridad dicen que hay algunos problemas con la forma en que funcionan los complementos, que pueden poner en riesgo los datos de las personas o potencialmente ser abusados por piratas informáticos malintencionados.
Johann Rehberger, director del equipo rojo de Electronic Arts e investigador de seguridad, ha estado documentando problemas con los complementos de ChatGPT en su tiempo libre. El investigador ha documentado cómo los complementos de ChatGPT podrían usarse para robar el historial de chat de alguien, obtener información personal y permitir que el código se ejecute de forma remota en la máquina de alguien. Se ha centrado principalmente en complementos que usan OAuth, un estándar web que le permite compartir datos entre cuentas en línea. Rehberger dice que se ha puesto en contacto en privado con alrededor de media docena de desarrolladores de complementos para plantear problemas y se ha puesto en contacto con OpenAI varias veces.
“ChatGPT no puede confiar en el complemento”, dice Rehberger. “Básicamente, no puede confiar en lo que regresa del complemento porque podría ser cualquier cosa”. Un sitio web o documento malicioso podría, mediante el uso de un complemento, intentar ejecutar un ataque de inyección rápida contra el modelo de lenguaje grande (LLM). O podría insertar cargas útiles maliciosas, dice Rehberger.
Los datos también podrían ser potencialmente robados a través de la falsificación de solicitudes de complementos cruzados, dice el investigador. Un sitio web podría incluir una inyección rápida que haga que ChatGPT abra otro complemento y realice acciones adicionales, lo que ha demostrado a través de una prueba de concepto. Los investigadores llaman a esto «encadenamiento», donde un complemento llama a otro para operar. «No hay límites de seguridad reales» dentro de los complementos de ChatGPT, dice Rehberger. “No está muy bien definido, cuál es la seguridad y la confianza, cuáles son las responsabilidades reales [are] de cada actor”.
Desde que se lanzaron en marzo, los complementos de ChatGPT han estado en versión beta, esencialmente una versión experimental temprana. Al usar complementos en ChatGPT, el sistema advierte que las personas deben confiar en un complemento antes de usarlo, y que para que el complemento funcione, es posible que ChatGPT deba enviar su conversación y otros datos al complemento.
Niko Felix, un portavoz de OpenAI, dice que la compañía está trabajando para mejorar ChatGPT contra las «explosiones» que pueden conducir a que se abuse de su sistema. Actualmente revisa los complementos antes de que se incluyan en su tienda. En una publicación de blog en junio, la compañía dijo que ha visto investigaciones que muestran cómo «los datos no confiables de la salida de una herramienta pueden indicarle al modelo que realice acciones no deseadas». Y que alienta a los desarrolladores a hacer que las personas hagan clic en los botones de confirmación antes de que ChatGPT realice acciones con «impacto en el mundo real», como enviar un correo electrónico.