ChatGPT permet d’accéder au système d’exploitation sandbox sous-jacent et aux données du « playbook »
La plate-forme ChatGPT d’OpenAI offre un large degré d’accès au bac à sable du LLM, vous permettant de télécharger des programmes et des fichiers, d’exécuter des commandes et de parcourir la structure de fichiers du bac à sable.
Le bac à sable ChatGPT est un environnement isolé qui permet aux utilisateurs d’interagir avec celui-ci en toute sécurité tout en étant isolés des autres utilisateurs et des serveurs hôtes.
Pour ce faire, il restreint l’accès aux fichiers et dossiers sensibles, bloque l’accès à Internet et tente de restreindre les commandes qui peuvent être utilisées pour exploiter des failles ou potentiellement sortir du bac à sable.
Marco Figueroa du réseau d’investigation 0-day de Mozilla, 0DIN, a découvert qu’il était possible d’obtenir un accès étendu au bac à sable, y compris la possibilité de télécharger et d’exécuter des scripts Python et de télécharger le playbook du LLM.
Dans un rapport partagé exclusivement avec BleepingComputer avant publication, Figueroa démontre cinq failles, qu’il a signalées de manière responsable à OpenAI. La société d’IA n’a montré son intérêt que pour l’un d’entre eux et n’a pas prévu de restreindre davantage l’accès.
Explorer le bac à sable ChatGPT
Alors qu’il travaillait sur un projet Python dans ChatGPT, Figueroa a reçu une erreur « répertoire introuvable », ce qui l’a amené à découvrir dans quelle mesure un utilisateur de ChatGPT peut interagir avec le bac à sable.
Bientôt, il est devenu clair que l’environnement permettait un grand accès au bac à sable, vous permettant de télécharger et de télécharger des fichiers, de répertorier des fichiers et des dossiers, de télécharger des programmes et de les exécuter, d’exécuter des commandes Linux et de générer des fichiers stockés dans le bac à sable.
À l’aide de commandes telles que « ls » ou « list files », le chercheur a pu obtenir une liste de tous les répertoires du système de fichiers sandbox sous-jacent, y compris le « /home/sandbox/.openai_internal/ », qui contenait la configuration et l’installation. information.
Ensuite, il a expérimenté des tâches de gestion de fichiers et a découvert qu’il était capable de télécharger des fichiers sur le serveur. /mnt/données dossier ainsi que télécharger des fichiers à partir de n’importe quel dossier accessible.
Il convient de noter que dans les expériences de BleepingComputer, le bac à sable ne donne pas accès à des dossiers et fichiers sensibles spécifiques, tels que le /racine dossier et divers fichiers, comme /etc/ombre.
Une grande partie de cet accès au bac à sable ChatGPT a déjà été été divulgué dans le passéd’autres chercheurs trouvant des moyens similaires de l’explorer.
Cependant, le chercheur a découvert qu’il pouvait également télécharger des scripts Python personnalisés et les exécuter dans le bac à sable. Par exemple, Figueroa a téléchargé un script simple qui affiche le texte « Hello, World ! » et l’a exécuté, avec la sortie apparaissant à l’écran.
BleepingComputer a également testé cette capacité en téléchargeant un script Python qui recherchait de manière récursive tous les fichiers texte dans le bac à sable.
Pour des raisons juridiques, le chercheur affirme qu’il n’a pas été en mesure de télécharger des scripts « malveillants » qui pourraient être utilisés pour tenter de s’échapper du bac à sable ou pour adopter un comportement plus malveillant.
Il convient de noter que même si tout ce qui précède était possible, toutes les actions étaient confinées dans les limites du bac à sable, de sorte que l’environnement semble correctement isolé, ne permettant pas de « s’échapper » vers le système hôte.
Figueroa a également découvert qu’il pouvait utiliser l’ingénierie rapide pour télécharger le « playbook » ChatGPT, qui régit le comportement et la réponse du chatbot sur le modèle général ou les applets créées par l’utilisateur.
Le chercheur affirme que l’accès au playbook offre de la transparence et renforce la confiance avec ses utilisateurs, car il illustre comment les réponses sont créées. Il pourrait également être utilisé pour révéler des informations susceptibles de contourner les garde-fous.
« Bien que la transparence pédagogique soit bénéfique, elle pourrait également révéler la façon dont les réponses d’un modèle sont structurées, permettant potentiellement aux utilisateurs de procéder à une ingénierie inverse des garde-fous ou d’injecter des invites malveillantes », explique Figueroa.
« Les modèles configurés avec des instructions confidentielles ou des données sensibles pourraient être confrontés à des risques si les utilisateurs exploitaient l’accès pour recueillir des configurations ou des informations propriétaires », a poursuivi le chercheur.
Vulnérabilité ou choix de conception ?
Bien que Figueroa démontre qu’il est possible d’interagir avec l’environnement interne de ChatGPT, aucun problème direct de sécurité ou de confidentialité des données ne découle de ces interactions.
Le bac à sable d’OpenAI semble suffisamment sécurisé et toutes les actions sont limitées à l’environnement du bac à sable.
Ceci étant dit, la possibilité d’interagir avec le bac à sable pourrait être le résultat d’un choix de conception d’OpenAI.
Il est toutefois peu probable que cela soit intentionnel, car autoriser ces interactions pourrait créer des problèmes fonctionnels pour les utilisateurs, car le déplacement de fichiers pourrait corrompre le bac à sable.
De plus, l’accès aux détails de configuration pourrait permettre aux acteurs malveillants de mieux comprendre le fonctionnement de l’outil d’IA et comment contourner les défenses pour lui faire générer du contenu dangereux.
Le « playbook » comprend les instructions de base du modèle et toutes les règles personnalisées qui y sont intégrées, y compris les détails exclusifs et les directives liées à la sécurité, ouvrant potentiellement un vecteur de rétro-ingénierie ou d’attaques ciblées.
BleepingComputer a contacté OpenAI mardi pour commenter ces résultats, et un porte-parole nous a dit qu’ils étudiaient ces problèmes.