ChatGPT için yeni bir tür uygulama mağazası, kullanıcıları kötü niyetli botlara ve verilerini güvenli olmayan harici yerel ayarlara aktaran meşru botlara maruz bırakabilir.
ChatGPT’nin popülaritesindeki hızlı artış, ilk GPT modellerinin açık kaynak erişilebilirliğiyle birleştiğinde, yaygın jailbreak’lerVe daha da yaratıcı geçici çözümler 2023’te özel GPT modellerinin (yasal ve kötü amaçlı) çoğalmasına yol açtı. Şimdiye kadar bunlar, internetin farklı köşelerine dağılmış bireysel tamirciler tarafından paylaşılıyor ve keyifle kullanılıyordu.
GPT mağazasıDün başlatılan, OpenAI abonelerinin tek bir yerden özel botlar (kısaca “GPT’ler”) keşfetmesine ve oluşturmasına olanak tanıyor. Ancak OpenAI’nin şemsiyesi altında olmak, bunların mutlaka orijinal ChatGPT ile aynı düzeyde güvenlik ve veri gizliliği sağlayacağı anlamına gelmez.
Harmonic Security CEO’su Alastair Paterson, “Verileriniz OpenAI’ye giderken bir şeydi, ancak şimdi üçüncü taraf bir ekosisteme doğru genişliyorsunuz” diye uyarıyor konuyla ilgili bir blog yazısı 10 Ocak. “Verileriniz nereye gidiyor? Bu noktada kim bilir?”
ChatGPT Gibi Görünüyor, Davranıyor Ama ChatGPT Değil
OpenAI kaçmadı güvenlik olaylarından adil payıancak ChatGPT’nin duvarlarla çevrili bahçesi, kişisel bilgilerini robotlarla paylaşmayı seven kullanıcılara güven veriyor.
GPT mağazasındaki GPT’lerin kullanıcı arayüzü, tescilli modelinkiyle aynıdır. Ancak kullanıcı deneyimine sağlanan bu fayda, güvenlik söz konusu olduğunda potansiyel olarak aldatıcıdır.
Paterson “dün bir süredir onunla oynuyordu. Bu, her zamanki gibi ChatGPT ile etkileşime geçmek gibi – aynı sarmalayıcı – ama aslında, bu arayüze koyduğunuz veriler herhangi bir üçüncü tarafa, herhangi bir özel yöntemle gönderilebilir. “
Bu botların üçüncü taraf geliştiricileri tüm verilerinize erişemez. OpenAI’nin açıkladığı gibi veri gizliliği SSS’lerisohbetlerin kendileri büyük ölçüde korunacak: “Şimdilik geliştiricilerin, kullanıcı gizliliğini sağlamak için GPT’leriyle belirli görüşmelere erişimi olmayacak. Ancak OpenAI, geliştiricilere GPT’lerini iyileştirmeleri için analiz ve geri bildirim mekanizmaları sağlayacak gelecekteki özellikleri düşünüyor. mahremiyetten ödün vermeden.”
Ancak API ile entegre işlevler farklı bir hikayedir; çünkü “bu, sohbetlerinizin bazı bölümlerini API’nin üçüncü taraf sağlayıcısıyla paylaşmayı içerir ve bu, OpenAI’nin gizlilik ve güvenlik taahhütlerine tabi değildir. GPT oluşturucuları, kullanılacak API’leri belirtebilir.” çağrıldı. OpenAI, API sağlayıcısının gizlilik ve güvenlik uygulamalarını bağımsız olarak doğrulamaz. API’leri yalnızca sağlayıcıya güveniyorsanız kullanın.”
Kaynak: Harmonik Güvenlik
“Eğer bir saldırgan olsaydım, sizi belgeleri, sunumları, kodları, PDF’leri yüklemeye teşvik eden bir uygulama oluşturabilirdim ve bu nispeten zararsız görünebilir. Hatta sizi müşteri verilerini, IP’yi veya yayınlayabileceğiniz diğer hassas materyalleri yayınlamaya bile teşvik edebilirdi. daha sonra çalışanlara veya şirketlere karşı kullanın” diyor Paterson.
Ayrıca şirket etkileşime dayalı olarak para kazanmayı planladığı için saldırganlar Kötü niyetlerini gizleyen bağımlılık yaratan teklifler. “Bu para kazanma modelinin bazı kötü uygulamaları tetikleyip tetiklemeyeceği ilginç olacak” diyor.
Daha Fazla Uygulama, Daha Fazla Sorun
OpenAI, uygulama mağazası olan ilk şirket değil. Ancak kontrollerinin Apple, Google ve diğerlerininki kadar sıkı olup olmadığı bir sorudur.
Şirket, OpenAI’nin özelleştirilebilir GPT’leri kullanıma sunmasından bu yana geçen iki ay içinde topluluk üyelerinin halihazırda 3 milyondan fazla yeni bot oluşturduğunu iddia ediyor. Paterson, “Bu pazarda bir uygulama edinmek için çok hafif bir doğrulama süreci gibi görünüyor” diyor.
Bir OpenAI temsilcisi Dark Reading’e yaptığı açıklamada Dark Reading’e şunları söyledi: “GPT’lerin politikalarımıza uymasını sağlamak için ürünlerimize yerleştirdiğimiz mevcut güvenlik önlemlerine ek olarak yeni bir inceleme sistemi kurduk. İnceleme süreç hem insan hem de otomatik incelemeyi içeriyor. Kullanıcılar ayrıca GPT’leri de bildirebiliyor.”
Paterson, inceleme süreciyle ilgili endişelerine rağmen, uygulama mağazasının yaratılmasının potansiyel bir avantajının, üçüncü taraf uygulamalarda çıtayı yükseltebilmesi olduğunu kabul ediyor. “ChatGPT çıkar çıkmaz, PDF’ler ve web siteleri ile sohbet etmek gibi temel işlevler için, genellikle zayıf işlevselliğe ve şüpheli güvenlik ve gizlilik önlemlerine sahip çok sayıda üçüncü taraf uygulaması ortaya çıktı” diyor. “Uygulama mağazası için bir umut, en iyilerin en üstte yer alması ve kullanıcılar için keşfedilmesinin daha kolay olması olabilir.”
Paterson, bunun uygulamaların mutlaka güvenli olacağı anlamına gelmediğini söylüyor. “Fakat en popüler olanların daha başarılı olmak için veri korumayı ciddiye almaya başlayacağını umuyorum” diye ekliyor.