Los complementos de ChatGPT tienen problemas de seguridad
ChatGPT ha sido una tecnología totalmente innovadora en el mundo informático en los últimos meses. Esto debido a que millones de personas lo usan gracias a su capacidad de generar texto realista, escribiendo desde historias ficticias, hasta código de programación.
Desde que la empresa OpenAI lanzó complementos para ChatGPT, múltiples desarrolladores han creado y publicado complementos que permiten muchas más funcionalidades para este chatbot. Estos complementos te permiten hacer muchas más cosas, como analizar texto en páginas web, documentos en línea y vídeos.
Sin embargo, la mala noticia de la explosión de estas extensiones y complementos para el chatbot, es que los expertos en ciberseguridad manifiestan que hay algunos inconvenientes en cuanto al funcionamiento de dichas extensiones. Estos problemas pueden poner en riesgo tus datos y, además, pueden ser vulnerados por hackers maliciosos.
Los directores de Red Team de algunas empresas reconocidas, manifiestan que han estado investigando y documentando problemas con complementos y extensiones para ChatGPT. Han señalado que podrían emplearse para robar el historial de chat de algún usuario, obtener información personal y, del mismo modo, puede permitir que el código malicioso se ejecute en un dispositivo de cualquier persona y de forma remota.
Los especialistas están concentrados en analizar complementos que utilizan OAuth, el cual es un estándar web que permite compartir datos entre cuentas en línea. Del mismo modo, se han puesto en contacto con algunos desarrolladores de complementos y extensiones para plantearles los problemas que han encontrado. Incluso, han contactado a la misma OpenAI.
Las aplicaciones web pueden representar un verdadero peligro para tu empresa, si no cuentas con servicios de detección de amenazas web que sea óptimo para mitigar las amenazas y los riesgos de las extensiones y complementos, TIC Defense tiene herramientas y soluciones adecuadas para contrarrestar las amenazas y prevenir futuras intrusiones.
Los expertos señalan que ChatGPT no puede confiar ciegamente en los complementos. Esto se debe a que, dichos complementos y extensiones podrían ser cualquier cosa, es decir, un sitio web o un documento malicioso podría intentar un ataque de inyección rápida a través de un complemento, además de insertar cargas útiles maliciosas.
Igualmente, los datos podrían ser robados mediante la falsificación de solicitudes de complementos cruzados. A través de una prueba de concepto, los desarrolladores notaron que una página de Internet puede incluir una inyección rápida, permitiendo que Chat GPT pueda abrir otro complemento y haga otras funciones.
A diferencia de las tiendas de aplicaciones App Store y Google Play, (iOS y Android), la biblioteca de complementos y extensiones asociada a CHatGPT no ha listado a los desarrolladores que han creado complementos y tampoco proporciona información acerca de cómo pueden ser utilizados los datos que dicho complementos y extensiones recopilan.
De acuerdo con la guía de la propia Open AI, los desarrolladores que están construyendo complementos y extensiones, tienen que seguir las pautas de contenidos y proporcionar a la compañía un archivo de manifiesto, el cual debe incluir información de contacto de los desarrolladores de dicho complemento, además del nombre, una breve descripción y el logotipo de la organización.
Los expertos señalan que cualquiera que utilice el sistema de Grandes Modelos de Lenguaje o Large Languaje Models, LLM, por sus siglas en inglés, debe tener extremo cuidado con la información que está ingresando en ellos. Esto se debe a que no son necesariamente seguros y nadie sabe cómo se preservará la información allí.
