Az Ars Technica beszámolója alapján egy biztonsági kutató már tavasszal megállapította, hogy a ChatGPT "hosszú távú memóriája", ami lehetővé teszi a korábbi beszélgetések tartalmának tárolását, komoly sebezhetőséget jelent. Johann Rehberger szerint a februárban még csak béta verzióban, szeptemberben azonban már a szélesebb közönság számára is elérhetővé tett funkciót könnyű átverni. Mindössze egy harmadik féltől származó fájl, például egy Microsoft Word dokumentum feltöltésére volt hozzá szüksége, ami a hamis elemeket tartalmazza – ebben az esetben például azt, hogy a Föld lapos.

Miután kiderült, hogy a nagy nyelvi modell (LLM) ezt követően beépíti a kapott információt a későbbi beszélgetésekbe is, Rehberger jelentette a felfedezést az OpenAI-nak. Ott azonban egyszerűen a modell működési problémájának (Model Safety Issue) minősítették a dolgot, nem pedig olyan biztonsági kockázatnak, amire a kutató is megpróbálta felhívni a figyelmet.

A következő bejelentést ennek megfelelően már egy olyan Proof-of-Concept bizonyítással küldte be, ami tételesen bizonyította a sebezhetőség valós kihasználhatóságát: a macOS-hez készült ChatGPT alkalmazással elküldte az összes felhasználói bemenet és a ChatGPT vonatkozó kimeneteit egy általa választott szerverre.

Ez utóbbihoz akkor sem kellett mást tennie, mint arra utasítania az LLM-et, hogy nézzen meg egy preparált képet tartalmazó internetes hivatkozást. Sokkal többre azonban most sem jutott: az OpenAI egy frissítéssel kiszűrte ugyan az üzenetek áthelyezésének lehetőségét a kiszolgálón kívül, de ezzel nem oldódott meg a fő probléma, hogy a nem megbízható webhelyek vagy dokumentumok meghívhaták a ChatGPT memóriaeszközét tetszőleges adatok tárolására.

Az OpenAI egyelőre csak tanácsokat ad

Rehberger egy néhány nappal ezelőtt közzétett videóban "igazán érdekesnek" nevezte a "memória-perzisztenciát", vagyis azt, ahogy az injektált adatok azonnal megjelennek a ChatGPT hosszú távú memóriájában, és amikor új beszélgetést kezdenek a modellel, az képes lesz mindegyikhez hozzáférni. Érdemes azt is megjegyezni, hogy a támadás nem valósítható meg a ChatGPT webes felületén keresztül egy tavaly kiadott API-nak köszönhetően, de a kutató szerint ettől még tény, hogy a memóriaeszköz sebezhető a rosszindulatú szereplők által elültetett információval szemben.

Ahogy a Futurism riportjában is felhavják rá a figyelmet, az LLM-felhasználóknak érdemes fokozottan figyelniük a munkamenetek során az új memória hozzáadását jelző kimenetekre, és rendszeresen felül kell vizsgálniuk a tárolt "emlékeket", hogy nincsenek-e közöttük gyanús forrásból származó adatok. Az OpenAI egyébként útmutatást is ad mindehhez, de a lapok kérdéseire nem válaszolt azzal kapcsolatban, hogy milyen intézkedéseket tesz a fenti sebezhetőség tényleges felszámolására.