La plate-forme ChatGPT d’OpenAI offre un grand degré d’accès au bac à sable du LLM, vous permettant de télécharger des programmes et des fichiers, d’exécuter des commandes et de parcourir la structure de fichiers du bac à sable.
Le bac à sable ChatGPT est un environnement isolé qui permet aux utilisateurs d’interagir avec l’informatique en toute sécurité tout en étant isolés des autres utilisateurs et des serveurs hôtes.
Pour ce faire, il restreint l’accès aux fichiers et dossiers sensibles, bloque l’accès à Internet et tente de restreindre les commandes qui peuvent être utilisées pour exploiter les failles ou potentiellement sortir du bac à sable.
Marco Figueroa du réseau d’investigation 0-day de Mozilla, 0DIN, a découvert qu’il était possible d’obtenir un accès étendu au bac à sable, y compris la possibilité de télécharger et d’exécuter des scripts Python et de télécharger le manuel du LLM.
Dans un rapport partagé exclusivement avec Breachtrace avant publication, Figueroa démontre cinq failles, qu’il a signalées de manière responsable à OpenAI. La firme d’IA n’a montré d’intérêt que pour l’un d’entre eux et n’a fourni aucun plan pour restreindre davantage l’accès.
Explorer le bac à sable ChatGPT
Alors qu’il travaillait sur un projet Python dans ChatGPT, Figueroa a reçu une erreur « répertoire introuvable », ce qui l’a amené à découvrir à quel point un utilisateur de ChatGPT peut interagir avec le bac à sable.
Bientôt, il est devenu évident que l’environnement autorisait un grand nombre d’accès au bac à sable, vous permettant de télécharger et de télécharger des fichiers, de répertorier des fichiers et des dossiers, de télécharger des programmes et de les exécuter, d’exécuter des commandes Linux et de sortir des fichiers stockés dans le bac à sable.
En utilisant des commandes, telles que ‘ ls ‘ ou ‘list files’ , le chercheur a pu obtenir une liste de tous les répertoires du système de fichiers sandbox sous-jacent, y compris le ‘/home/sandbox/.openai_internal/, ‘ qui contenait des informations de configuration et de configuration.
Ensuite, il a expérimenté des tâches de gestion de fichiers, découvrant qu’il était capable de télécharger des fichiers dans le dossier /mnt/data ainsi que de télécharger des fichiers à partir de n’importe quel dossier accessible.
Il convient de noter que dans les expériences de Breachtrace , le bac à sable ne donne pas accès à des dossiers et fichiers sensibles spécifiques, tels que le dossier /root et divers fichiers, comme /etc/shadow.
Une grande partie de cet accès au bac à sable ChatGPT a déjà été divulguée dans le passé, d’autres chercheurs trouvant des moyens similaires de l’explorer.
Cependant, le chercheur a découvert qu’il pouvait également télécharger des scripts Python personnalisés et les exécuter dans le bac à sable. Par exemple, Figueroa a téléchargé un script simple qui affiche le texte » Bonjour, monde! »et l’a exécuté, avec la sortie apparaissant à l’écran.
Breachtrace a également testé cette capacité en téléchargeant un script Python qui recherchait récursivement tous les fichiers texte du bac à sable.
Pour des raisons juridiques, le chercheur dit qu’il n’a pas pu télécharger de scripts « malveillants » qui pourraient être utilisés pour essayer d’échapper au bac à sable ou d’adopter un comportement plus malveillant.
Il convient de noter que même si tout ce qui précède était possible, toutes les actions étaient confinées dans les limites du bac à sable, de sorte que l’environnement semble correctement isolé, ne permettant pas une « évasion » vers le système hôte.
Figueroa a également découvert qu’il pouvait utiliser prompt engineering pour télécharger le « playbook » de ChatGPT, qui régit le comportement et la réponse du chatbot sur le modèle général ou les applets créées par l’utilisateur.
Le chercheur affirme que l’accès au manuel offre de la transparence et renforce la confiance avec ses utilisateurs car il illustre comment les réponses sont créées, il pourrait également être utilisé pour révéler des informations qui pourraient contourner les garde-fous.
« Bien que la transparence des instructions soit bénéfique, elle pourrait également révéler la structure des réponses d’un modèle, permettant potentiellement aux utilisateurs de procéder à une ingénierie inverse des garde-fous ou d’injecter des invites malveillantes », explique Figueroa.
« Les modèles configurés avec des instructions confidentielles ou des données sensibles pourraient faire face à des risques si les utilisateurs exploitent l’accès pour recueillir des configurations ou des informations propriétaires », a poursuivi le chercheur.
Vulnérabilité ou choix de conception?
Bien que Figueroa démontre qu’il est possible d’interagir avec l’environnement interne de ChatGPT, aucun problème direct de sécurité ou de confidentialité des données ne découle de ces interactions.
Le bac à sable d’OpenAI semble correctement sécurisé et toutes les actions sont limitées à l’environnement du bac à sable.
Cela étant dit, la possibilité d’interagir avec le bac à sable pourrait être le résultat d’un choix de conception par OpenAI.
Cependant, il est peu probable que cela soit intentionnel, car autoriser ces interactions pourrait créer des problèmes fonctionnels pour les utilisateurs, car le déplacement de fichiers pourrait corrompre le bac à sable.
De plus, l’accès aux détails de la configuration pourrait permettre aux acteurs malveillants de mieux comprendre le fonctionnement de l’outil d’IA et de contourner les défenses pour lui faire générer du contenu dangereux.
Le « playbook » comprend les instructions de base du modèle et toutes les règles personnalisées qui y sont intégrées, y compris les détails exclusifs et les directives liées à la sécurité, ouvrant potentiellement un vecteur d’ingénierie inverse ou d’attaques ciblées.
Breachtrace a contacté OpenAI mardi pour commenter ces résultats, et un porte-parole nous a dit qu’ils examinaient les problèmes.