I chatbot dotati di intelligenza artificiale sono diventati uno strumento indispensabile per molti utenti, che arrivano addirittura a realizzare modelli come ChatGPT o Copilota personali o sensibili, pensando che, grazie alla crittografia end-to-end, nessuno possa leggere le loro conversazioni. Ma un’indagine mostra che questi non sono così sicuri come sembrano e che gli hacker stanno addirittura possono accedere a queste chat con un’ottima precisione.
Come scoperto da Laboratorio di intelligenza artificiale offensivagli hacker possono leggere queste conversazioni attraverso un attacco a canale lateraleSi tratta di raccogliere informazioni dall’implementazione fisica di un sistema, compresi i dati sul consumo energetico, il tempo necessario al modello per elaborare i dati e persino le radiazioni elettromagnetiche prodotte in un determinato periodo. Queste informazioni vengono poi elaborate da un’intelligenza artificiale appositamente costruita che, in media, riesce a decifrare le conversazioni del 55% delle risposte acquisite da ChatGPT o Copilot. Il 29% delle volte vengono rivelate risposte con un’accuratezza completa delle parole.
Questo è dovuto al fatto che i modelli linguistici come ChatGPT generano e inviano risposte attraverso una serie di token che vengono trasmessi dal server all’utente. Questi sono crittografati end-to-end, ma gli aggressori utilizzano il canale laterale della lunghezza dei token a causa delle dimensioni dei pacchetti, che rivelano questa informazione.
Sembra che i principali chatbot, come ChatGPT o Copilot, che sono crittografati end-to-end, abbiano questo inconveniente. Solo Gemini, l’intelligenza artificiale di Google, si salva dalla possibilità che gli hacker siano in grado di accedere alle conversazioni attraverso l’attacco side-channel, afferma Laboratorio di intelligenza artificiale offensiva.
ChatGPT, Copilot e altri modelli di IA presentano lo stesso problema.
La società di ricerca sostiene che esiste un modo per impedire agli hacker di leggere le chat di IA come ChatGPT o Copilot. Si tratta di addestrare il modello eseguendo attacchi non formattati per migliorare la sua capacità di dedurre la sequenza di token.
L’approccio consiste nell’addestrare un LLM di ultima generazione a tradurre sequenze di token in frasi leggibili. Inoltre, fornendo all’LLM il contesto delle frasi inferite in precedenza, l’LLM può limitare ulteriormente le frasi possibili, riducendo così l’entropia coinvolta nell’inferenza di un intero paragrafo.
Laboratorio di intelligenza artificiale offensiva.
In ogni caso, e fino a quando OpenAI (ChatGPT) o Microsoft (Copilot) (per citare solo alcune aziende con chatbot di intelligenza artificiale) non troveranno una soluzione, questa scoperta comporta un serio problema di privacy per gli utenti che utilizzano questi modelli. Soprattutto se si considera che tendono a porre domande di natura personale e sensibile, come dubbi sull’interruzione di gravidanza, malattie, ecc.
Per il momento, l’unica cosa che gli utenti possono fare è non rivelare informazioni personali a chatbot come ChatGPT o Copilot. Molti di questi modelli, infatti, emettono un avviso simile la prima volta che viene aperta una finestra di chat.