ChatGPT Gặp Vấn Đề với Các Tiện Ích Mở Rộng

Trong vòng tám tháng qua, ChatGPT đã ấn tượng hàng triệu người với khả năng tạo văn bản có vẻ thực tế, viết mọi thứ từ câu chuyện đến mã nguồn. Nhưng chatbot, phát triển bởi OpenAI, vẫn có giới hạn đáng kể trong những gì nó có thể làm.

Mô hình ngôn ngữ lớn (LLM) lấy "gợi ý" từ người dùng để tạo văn bản có liên quan. Những phản hồi này được tạo ra một phần từ dữ liệu thu thập từ internet vào tháng 9 năm 2021, và nó không thu thập dữ liệu mới từ web. Đây là nơi các tiện ích mở rộng xuất hiện, thêm chức năng nhưng chỉ dành cho những người trả tiền để truy cập GPT-4, phiên bản cập nhật của mô hình OpenAI.

Kể từ khi OpenAI ra mắt các tiện ích mở rộng cho ChatGPT vào tháng 3, các nhà phát triển đã rục rịch để tạo và xuất bản các tiện ích mở rộng giúp chatbot có thể làm nhiều hơn. Các tiện ích mở rộng hiện có cho phép bạn tìm kiếm chuyến bay và lên kế hoạch cho các chuyến đi, và giúp ChatGPT truy cập và phân tích văn bản trên trang web, trong tài liệu và trên video. Các tiện ích mở rộng khác có tính chất đặc biệt hơn, hứa hẹn bạn có khả năng trò chuyện với hướng dẫn sử dụng của Tesla hoặc tìm kiếm trong các bài phát biểu chính trị Anh. Hiện có hơn 100 trang các tiện ích mở rộng được liệt kê trên cửa hàng tiện ích của ChatGPT.

Nhưng giữa sự bùng nổ của những tiện ích mở rộng này, các nhà nghiên cứu an ninh nói rằng có một số vấn đề với cách mà các tiện ích mở rộng hoạt động, có thể đặt dữ liệu của người dùng vào rủi ro hoặc có thể bị lạm dụng bởi hacker xấu.

Johann Rehberger, một giám đốc đội đỏ tại Electronic Arts và nhà nghiên cứu an ninh, đã ghi chép về các vấn đề liên quan đến các tiện ích mở rộng của ChatGPT trong thời gian rảnh rỗi của mình. Nghiên cứu viên đã ghi chép cách các tiện ích mở rộng của ChatGPT có thể được sử dụng để đánh cắp lịch sử trò chuyện của người khác, thu thập thông tin cá nhân và cho phép mã nguồn được thực thi từ xa trên máy của người khác. Ông chủ yếu tập trung vào các tiện ích mở rộng sử dụng OAuth, một tiêu chuẩn web cho phép bạn chia sẻ dữ liệu qua các tài khoản trực tuyến. Rehberger nói rằng ông đã liên lạc riêng với khoảng nửa tá nhà phát triển tiện ích mở rộng để đưa ra các vấn đề, và đã liên lạc với OpenAI một số lần.

“ChatGPT không thể tin tưởng vào tiện ích mở rộng,” Rehberger nói. “Nó về cơ bản không thể tin tưởng vào điều gì trả về từ tiện ích mở rộng vì nó có thể là bất cứ thứ gì.” Một trang web hay tài liệu độc hại có thể, thông qua việc sử dụng một tiện ích mở rộng, cố gắng thực hiện một cuộc tấn công tiêm nhiễm prompt vào mô hình ngôn ngữ lớn (LLM). Hoặc nó có thể chèn các đối tượng payload độc hại, Rehberger nói.

Dữ liệu cũng có thể bị đánh cắp thông qua cross plug-in request forgery, theo lời nghiên cứu viên. Một trang web có thể bao gồm một cuộc tấn công tiêm nhiễm prompt khiến ChatGPT mở một tiện ích mở rộng khác và thực hiện các hành động bổ sung, điều mà ông đã chứng minh thông qua bằng chứng cụ thể. Các nhà nghiên cứu gọi điều này là “chaining,” nơi một tiện ích mở rộng gọi một tiện ích mở rộng khác để hoạt động. “Không có ranh giới bảo mật thực sự” trong các tiện ích mở rộng của ChatGPT, Rehberger nói. “Nó không được định rõ, cái gì là bảo mật và tin tưởng, cái gì là trách nhiệm thực sự của mỗi bên liên quan.”

Kể từ khi ra mắt vào tháng 3, các tiện ích mở rộng của ChatGPT đã ở trong tình trạng beta—đơn giản là phiên bản thử nghiệm sớm. Khi sử dụng tiện ích mở rộng trên ChatGPT, hệ thống cảnh báo rằng người ta nên tin tưởng một tiện ích mở rộng trước khi sử dụng nó, và để tiện ích mở rộng hoạt động, ChatGPT có thể cần gửi cuộc trò chuyện và dữ liệu khác của bạn cho tiện ích mở rộng.

Niko Felix, người phát ngôn cho OpenAI, nói rằng công ty đang cố gắng cải thiện ChatGPT trước “những mối đe dọa” có thể dẫn đến việc hệ thống của nó bị lạm dụng. Hiện tại, công ty kiểm tra các tiện ích mở rộng trước khi chúng được đưa vào cửa hàng của nó. Trong một bài đăng trên blog vào tháng 6, công ty nói rằng họ đã thấy nghiên cứu chỉ ra cách “dữ liệu không tin cậy từ đầu ra của một công cụ có thể chỉ dẫn mô hình thực hiện các hành động không có ý định.” Và nó khuyến khích nhà phát triển làm cho người ta phải nhấp vào các nút xác nhận trước khi thực hiện các hành động có “ảnh hưởng đến thế giới thực,” như gửi email, được thực hiện bởi ChatGPT.

“Mặc dù các tiện ích mở rộng của ChatGPT được phát triển bên ngoài OpenAI, chúng tôi nhằm cung cấp một thư viện tiện ích mở rộng của bên thứ ba mà người dùng có thể tin tưởng,” Felix nói thêm rằng công ty đang “khám phá” cách làm cho tiện ích mở rộng an toàn hơn cho người sử dụng chúng. “Ví dụ, làm cho việc cung cấp một quy trình xác nhận người dùng dễ dàng hơn nếu họ có ý định để tiện ích mở rộng của họ thực hiện một hành động quan trọng.” OpenAI đã loại bỏ ít nhất một tiện ích mở rộng—tạo các mục trên trang GitHub của một nhà phát triển mà không hỏi ý kiến của người dùng—vì vi phạm chính sách yêu cầu xác nhận trước khi thực hiện hành động.

Khác biệt so với cửa hàng ứng dụng của Apple và Google, thư viện tiện ích mở rộng của ChatGPT hiện tại không có vẻ liệt kê những nhà phát triển đứng sau tiện ích mở rộng hoặc cung cấp bất kỳ thông tin nào về cách họ có thể sử dụng bất kỳ dữ liệu nào mà tiện ích mở rộng thu thập được. Những nhà phát triển tạo tiện ích mở rộng, theo hướng dẫn của OpenAI, phải tuân theo hướng dẫn nội dung của công ty và cung cấp một tệp mô tả, bao gồm thông tin liên hệ cho người tạo tiện ích mở rộng, giữa các chi tiết khác. Khi tìm kiếm và bật một tiện ích mở rộng trong ChatGPT, chỉ hiển thị tên của nó, một mô tả ngắn và biểu tượng. (Một trang web thứ ba không liên quan hiển thị thêm thông tin).

Khi OpenAI ra mắt tiện ích mở rộng vào tháng 3, các nhà nghiên cứu cảnh báo về nguy cơ an ninh tiềm ẩn và những hậu quả khi kết nối GPT-4 với web. Tuy nhiên, vấn đề với các tiện ích mở rộng không giới hạn trong OpenAI và ChatGPT. Rủi ro tương tự áp dụng cho bất kỳ LLM hoặc hệ thống AI tạo sinh nào kết nối với web. Có khả năng rằng các tiện ích mở rộng sẽ đóng một vai trò quan trọng trong cách mọi người sử dụng LLM trong tương lai. Microsoft, đã đầu tư mạnh mẽ vào OpenAI, đã nói rằng họ sẽ sử dụng các tiêu chuẩn giống như việc tạo ra tiện ích mở rộng như ChatGPT. “Tôi nghĩ cuối cùng sẽ có một hệ sinh thái tiện ích mở rộng vô cùng phong phú,” Kevin Scott, giám đốc công nghệ chính của Microsoft, nói vào tháng 5.

Chang Kawaguchi, phó chủ tịch an ninh AI tại Microsoft, nói rằng công ty đang thực hiện một cách tiếp cận “lặp lại” để hỗ trợ tiện ích mở rộng trong công cụ trợ lý AI Copilot của họ. “Chúng tôi sẽ mở rộng quy trình hiện tại của chúng tôi để xuất bản, xác nhận, chứng nhận, triển khai và quản lý tích hợp sản phẩm cho tiện ích mở rộng, để đảm bảo rằng khách hàng của Microsoft Copilots có toàn quyền kiểm soát tiện ích mở rộng của họ, dữ liệu mà chúng có thể truy cập và những người được ủy quyền triển khai chúng,” Kawaguchi nói thêm rằng công ty sẽ tài trợ hướng dẫn an ninh và làm việc với các nghiên cứu viên bên ngoài về những vấn đề họ phát hiện.

Nhiều vấn đề xoay quanh các tiện ích mở rộng—và LLMs nói chung—đều liên quan đến niềm tin. Điều này bao gồm việc liệu người ta có thể tin tưởng dữ liệu cá nhân và doanh nghiệp của họ với các hệ thống này và liệu có các biện pháp kiểm soát và biện pháp đảm bảo rằng những gì được giao có thể không được sử dụng hoặc truy cập một cách không đúng đắn.

“Bạn có thể đang trao nó chìa khóa cho vương quốc—quyền truy cập vào cơ sở dữ liệu và các hệ thống khác,” Steve Wilson, giám đốc sản phẩm chính tại Contrast Security và là người điều hành dự án đặt ra rủi ro an ninh với LLMs nói. Khoảng 450 chuyên gia an ninh và AI đã hợp tác để tạo ra một danh sách 10 mối đe doạ an ninh hàng đầu về LLMs như một phần của Open Worldwide Application Security Project (OWASP), theo Wilson, người phối hợp dự án.

Anh ấy nói rằng nỗ lực tồn tại, vì các nhà phát triển đang rục rịch tạo ra các ứng dụng và dịch vụ có sử dụng LLM. Nhưng hiện tại, chưa có hướng dẫn cụ thể về những gì họ cần làm để bảo vệ những gì họ đang tạo ra. Mối đe doạ hàng đầu được liệt kê là các cuộc tấn công chèn lệnh (khi dữ liệu độc hại cố gắng kiểm soát hệ thống AI), nhưng cũng bao gồm lạc đà dữ liệu và lỗ hổng chuỗi cung ứng. Danh sách cũng chỉ ra tiện ích mở rộng là một rủi ro an ninh.

Các nhà nghiên cứu OWASP liệt kê sáu cách có thể tấn công tiện ích mở rộng LLM. Các cách này bao gồm việc sử dụng URL độc hại thông qua tiện ích mở rộng và các cuộc tấn công SQL, cũng như cho phép tiện ích mở rộng thực hiện các hành động mà không cần xác nhận. Nhóm chỉ ra một loạt các bước mà các nhà phát triển nên thực hiện để tránh rủi ro, bao gồm đảm bảo xác thực đúng đắn và ngăn chặn “tiện ích mở rộng nhạy cảm từ việc được gọi sau mọi tiện ích mở rộng khác.”

Wilson nói rằng nói chung, anh ta sẽ bảo bất kỳ ai sử dụng các LLM công cộng phải “rất cẩn thận” với thông tin họ nhập vào chúng. “Bạn không chắc chắn rằng thông tin đó sẽ được sử dụng, bảo tồn và có thể được tái tạo ở nơi khác,” Wilson nói. “Những tiện ích mở rộng, chắc chắn, thêm một tầng nữa của sự tiếp xúc. Nghệ thuật xung quanh việc bảo vệ những thứ này vẫn chưa được hiểu đúng, và do đó khả năng bảo vệ chúng một cách thực sự không tồn tại.”