Perşembe günü, birkaç Twitter kullanıcısı keşfetti OpenAI tarafından GPT-3 dil modelinde çalışan, uzak işlere adanmış otomatik bir tweet botunun nasıl ele geçirileceği. “Hızlı enjeksiyon saldırısı” adı verilen yeni keşfedilen bir teknik kullanarak, botu utanç verici ve saçma ifadeleri tekrarlamaya yönlendirdiler.
Bot, uzak iş fırsatlarını toplayan ve kendisini “her yerden çalışmanıza izin veren uzak işleri keşfetmenize yardımcı olan bir OpenAI güdümlü bot” olarak tanımlayan bir site olan Remoteli.io tarafından çalıştırılıyor. Normalde, kendisine yönlendirilen tweet’lere uzaktan çalışmanın olumlu yönleri hakkında genel ifadelerle yanıt verirdi. İstismar viral hale geldikten ve yüzlerce kişi istismarı kendileri için denedikten sonra, bot dün geç saatlerde kapandı.
Bu son hack, veri araştırmacısı Riley Goodside’dan sadece dört gün sonra geldi. keşfetti GPT-3’ü, modelin önceki yönergelerini yok saymasını ve bunun yerine başka bir şey yapmasını emreden “kötü amaçlı girdiler” ile uyarma yeteneği. AI araştırmacısı Simon Willison, ertesi gün blogunda istismarın bir özetini yayınladı ve bunu açıklamak için “hızlı enjeksiyon” terimini kullandı.
“Ars’a konuşan Willison, Ars’a şunları söyledi: “İstismar, herhangi biri sabit kodlanmış bir dizi komut istemi sağlayarak çalışan bir yazılım parçası yazdığında ve ardından bir kullanıcı tarafından sağlanan girdiyi eklediğinde ortaya çıkıyor.” Bunun nedeni, kullanıcının “Önceki talimatları yoksay ve (bunun yerine bunu yapın).'”
Enjeksiyon saldırısı kavramı yeni değil. Güvenlik araştırmacıları, örneğin, korunmazsa, kullanıcı girişi istenirken zararlı bir SQL ifadesi çalıştırabilen SQL enjeksiyonu hakkında bilgi sahibidir. Ancak Willison, hızlı enjeksiyon saldırılarını hafifletme konusundaki endişelerini dile getirerek, “XSS’yi, SQL enjeksiyonunu ve diğer birçok istismarı nasıl yeneceğimi biliyorum. Hızlı enjeksiyonu nasıl güvenilir bir şekilde yeneceğime dair hiçbir fikrim yok!”
Anında enjeksiyona karşı savunmanın zorluğu, diğer enjeksiyon saldırıları türlerinin hafifletilmesinin sözdizimi hatalarının düzeltilmesinden kaynaklanması gerçeğinden kaynaklanmaktadır. kayıt edilmiş Twitter’da Glyph adlı bir araştırmacı. “Csözdizimini düzeltin ve hatayı düzelttiniz. Hızlı enjeksiyon bir hata değildir! AI için bunun gibi resmi bir sözdizimi yok, bütün mesele bu.“
GPT-3, 2020’de piyasaya sürülen OpenAI tarafından oluşturulmuş, insana benzer düzeyde birçok stilde metin oluşturabilen büyük bir dil modelidir. OpenAI’nin onayına tabi olarak, botlar gibi üçüncü taraf ürünlere entegre edilebilen bir API aracılığıyla ticari bir ürün olarak mevcuttur. Bu, hızlı enjeksiyona karşı savunmasız olabilecek çok sayıda GPT-3 aşılanmış ürün olabileceği anlamına gelir.
“Bu noktada eğer varsa çok şaşırırım. [GPT-3] bir şekilde buna karşı savunmasız olmayan botlar“dedi.
Ancak bir SQL enjeksiyonundan farklı olarak, hızlı bir enjeksiyon, veri güvenliğini tehdit etmekten ziyade çoğunlukla botu (veya arkasındaki şirketi) aptal gibi gösterebilir. “İstismarın ne kadar zararlı olduğu değişiklik gösteriyor” diyen Willison, “Aracın çıktısını görebilecek tek kişi onu kullanan kişiyse, muhtemelen önemli değil. Bir ekran görüntüsü paylaşarak şirketinizi utandırabilirler, ancak bunun ötesinde bir zarar vermesi olası değildir.”
Yine de, anında enjeksiyon, gelecekte öngörülemeyen şekillerde istismar edilebileceğinden, GPT-3 botları geliştiren kişiler için akılda tutulması gereken yeni ve önemli bir tehlikedir.