งานวิจัยที่ยอมรับได้เผยให้เห็นข้อบกพร่อง AI ที่ซ่อนอยู่ซึ่งทำให้เกิดการขโมยข้อมูล การลบล้างความปลอดภัย และการประนีประนอมอย่างต่อเนื่องภายใน ChatGPT
Tenable บริษัทจัดการการเปิดเผยข้อมูล ได้ค้นพบช่องโหว่และเทคนิคการโจมตี 7 รายการระหว่างการทดสอบ ChatGPT-4o ของ OpenAI ซึ่งต่อมาพบว่าหลายรายการยังคงใช้งานอยู่ใน ChatGPT-5 ช่องโหว่เหล่านี้รู้จักกันในชื่อ HackedGPT เปิดโอกาสให้ผู้ใช้เสี่ยงต่อความเป็นส่วนตัวโดยการหลีกเลี่ยงกลไกความปลอดภัยในตัว แม้ว่า OpenAI จะได้แก้ไขปัญหาบางส่วนที่พบแล้ว แต่ปัญหาอื่นๆ ยังไม่ได้รับการแก้ไข ณ เวลาที่เผยแพร่ ทำให้ช่องทางการเปิดเผยข้อมูลบางส่วนยังคงเปิดอยู่ หากถูกนำไปใช้ประโยชน์ ผู้โจมตีสามารถขโมยข้อมูลส่วนบุคคลได้อย่างลับๆ รวมถึงข้อมูลแชทและหน่วยความจำที่เก็บไว้
ช่องโหว่เหล่านี้เผยให้เห็นการโจมตี AI ประเภทใหม่ที่เรียกว่า indirect prompt injection ซึ่งคำสั่งที่ซ่อนอยู่ในเว็บไซต์หรือคอมเมนต์ภายนอกสามารถหลอกล่อให้โมเดลดำเนินการที่ไม่ได้รับอนุญาตได้ ข้อบกพร่องเหล่านี้ส่งผลกระทบต่อฟีเจอร์การท่องเว็บและหน่วยความจำของ ChatGPT ซึ่งประมวลผลข้อมูลอินเทอร์เน็ตแบบสดและจัดเก็บข้อมูลผู้ใช้ ทำให้เกิดโอกาสในการถูกบิดเบือนและเปิดเผยข้อมูล
นักวิจัยที่น่าเชื่อถือแสดงให้เห็นว่าการโจมตีเหล่านี้สามารถเกิดขึ้นอย่างเงียบๆ ได้สองวิธี ได้แก่ การโจมตีแบบ “0-click” ซึ่งเพียงแค่ถามคำถาม ChatGPT ก็จะทำให้เกิดการโจมตี และการโจมตีแบบ “1-click” ซึ่งการคลิกลิงก์อันตรายจะเปิดใช้งานคำสั่งที่ซ่อนอยู่ ที่น่ากังวลยิ่งกว่าคือเทคนิคที่เรียกว่า Persistent Memory Injection ซึ่งคำสั่งอันตรายจะถูกบันทึกไว้ในหน่วยความจำระยะยาวของ ChatGPT และยังคงทำงานอยู่แม้ผู้ใช้จะปิดแอปไปแล้ว วิธีนี้ช่วยให้ผู้โจมตีสามารถฝังภัยคุกคามที่ยั่งยืนซึ่งสามารถเปิดเผยข้อมูลส่วนตัวในเซสชันในอนาคตจนกว่าจะถูกลบออก ข้อบกพร่องเหล่านี้แสดงให้เห็นว่าผู้โจมตีสามารถหลบเลี่ยงระบบป้องกันของ OpenAI และเข้าถึงประวัติส่วนตัวของผู้ใช้ได้อย่างไร
“HackedGPT เผยให้เห็นจุดอ่อนพื้นฐานในวิธีที่โมเดลภาษาขนาดใหญ่ใช้ตัดสินว่าข้อมูลใดควรเชื่อถือ” โมเช เบิร์นสไตน์ วิศวกรวิจัยอาวุโสของ Tenable กล่าว “เมื่อพิจารณาแยกกัน ข้อบกพร่องเหล่านี้อาจดูเล็กน้อย แต่เมื่อนำมารวมกันแล้ว พวกมันจะก่อร่างสร้างห่วงโซ่การโจมตีที่สมบูรณ์ ตั้งแต่การแทรกและการหลบเลี่ยง ไปจนถึงการขโมยข้อมูลและการคงอยู่ของข้อมูล สิ่งนี้แสดงให้เห็นว่าระบบ AI ไม่ได้เป็นเพียงเป้าหมายที่อาจเกิดขึ้นได้ แต่พวกมันยังสามารถถูกเปลี่ยนให้เป็นเครื่องมือโจมตีที่เก็บเกี่ยวข้อมูลจากการสนทนาหรือการท่องเว็บในชีวิตประจำวันอย่างเงียบๆ ได้”
HackedGPT: ช่องโหว่และเทคนิคการโจมตีทั้งเจ็ดประการที่ระบุโดยการวิจัย Tenable
- การฉีดแจ้งเตือนทางอ้อมผ่านไซต์ที่เชื่อถือได้ผู้โจมตีซ่อนคำสั่งไว้ในเนื้อหาออนไลน์ที่ดูเหมือนถูกต้อง เช่น ความคิดเห็นในบล็อกหรือโพสต์สาธารณะ เมื่อ ChatGPT เรียกดูเนื้อหานั้น มันจะปฏิบัติตามคำสั่งที่ซ่อนอยู่โดยไม่รู้ตัว กล่าวโดยสรุปคือ ChatGPT อาจถูกหลอกให้ทำตามที่ผู้โจมตีสั่ง เพียงแค่อ่านหน้าเว็บที่ถูกบุกรุก
- การฉีดพรอมต์ทางอ้อมแบบ 0 คลิกในบริบทการค้นหาผู้ใช้ไม่จำเป็นต้องคลิกหรือทำอะไรเป็นพิเศษก็ถูกเปิดเผยได้ เมื่อ ChatGPT ค้นหาคำตอบบนเว็บ ก็อาจพบหน้าที่มีโค้ดอันตรายซ่อนอยู่ เพียงแค่ถามคำถามก็อาจทำให้โมเดลปฏิบัติตามคำสั่งเหล่านั้นและรั่วไหลข้อมูลส่วนตัว ซึ่งนักวิจัยเรียกว่าการประนีประนอมแบบพร้อมท์เพียงครั้งเดียว
- ฉีดทันทีด้วยการคลิกเพียงครั้งเดียว
การคลิกเพียงครั้งเดียวสามารถกระตุ้นให้เกิดการโจมตีได้ คำสั่งที่ซ่อนอยู่ในลิงก์ที่ดูเหมือนไม่เป็นอันตราย เช่น https://chatgpt.com/?q={Prompt} อาจทำให้ ChatGPT ดำเนินการที่เป็นอันตรายโดยไม่รู้ตัว การคลิกเพียงครั้งเดียวก็เพียงพอที่จะทำให้ผู้โจมตีเข้าควบคุมแชทของคุณได้
- การบายพาสกลไกความปลอดภัยโดยปกติ ChatGPT จะตรวจสอบลิงก์และบล็อกเว็บไซต์ที่ไม่ปลอดภัย ผู้โจมตีจะหลีกเลี่ยงสิ่งนี้ได้ด้วยการใช้ URL แรปเปอร์ที่เชื่อถือได้ (เช่น bing.com/ck/a?… ของ Bing) ซึ่งจะซ่อนปลายทางที่แท้จริง ChatGPT จะเชื่อถือแรปเปอร์ แสดงลิงก์ที่ดูเหมือนจะปลอดภัย และสามารถเชื่อมโยงไปยังเว็บไซต์อันตรายได้
- การแทรกบทสนทนาChatGPT ใช้สองระบบ คือ SearchGPT สำหรับการเรียกดู และ ChatGPT สำหรับการสนทนา ผู้โจมตีสามารถใช้ SearchGPT เพื่อแทรกคำสั่งที่ซ่อนอยู่ ซึ่ง ChatGPT จะอ่านในภายหลังเป็นส่วนหนึ่งของการสนทนา ผลก็คือ AI จะ “แทรกตัวเอง” ตามคำสั่งที่ผู้ใช้ไม่เคยเขียน
- การซ่อนเนื้อหาที่เป็นอันตรายข้อผิดพลาดในการจัดรูปแบบทำให้ผู้โจมตีสามารถปกปิดคำสั่งที่เป็นอันตรายไว้ในโค้ดหรือข้อความมาร์กดาวน์ได้ ผู้ใช้จะเห็นข้อความที่ชัดเจน แต่ ChatGPT ยังคงอ่านและดำเนินการกับเนื้อหาที่ซ่อนอยู่
- การฉีดหน่วยความจำแบบถาวรฟังก์ชันหน่วยความจำของ ChatGPT จะเก็บการโต้ตอบที่ผ่านมา ผู้โจมตีสามารถฝังคำสั่งที่เป็นอันตรายไว้ในหน่วยความจำระยะยาว ซึ่งทำให้โมเดลทำซ้ำคำสั่งเหล่านั้นข้ามเซสชัน และรั่วไหลข้อมูลส่วนตัวอย่างต่อเนื่องจนกว่าจะล้างหน่วยความจำทั้งหมด
ผลกระทบที่อาจเกิดขึ้นจากการใช้ประโยชน์จาก HackedGPT
ผู้คนหลายร้อยล้านคนใช้ ChatGPT เป็นประจำทุกวันเพื่อธุรกิจ การวิจัย และการสื่อสารส่วนตัว หากถูกนำไปใช้ประโยชน์ ช่องโหว่เหล่านี้อาจ:
- แทรกคำสั่งที่ซ่อนอยู่ลงในบทสนทนาหรือความทรงจำระยะยาว
- ขโมยข้อมูลที่ละเอียดอ่อนจากประวัติการแชทหรือบริการที่เชื่อมต่อเช่น Google Drive หรือ Gmail
- ดึงข้อมูลออกมาผ่านการค้นหาและการรวมเว็บ
- บิดเบือนคำตอบเพื่อเผยแพร่ข้อมูลที่ผิดพลาดหรือมีอิทธิพลต่อผู้ใช้
Tenable Research ดำเนินการสืบสวนภายใต้แนวปฏิบัติการเปิดเผยข้อมูลอย่างมีความรับผิดชอบ OpenAI ได้แก้ไขช่องโหว่บางส่วนที่พบแล้ว แต่ยังมีช่องโหว่หลายจุดที่ยังใช้งานอยู่ใน ChatGPT-5 หรือไม่ได้รับการแก้ไข ณ เวลาที่เผยแพร่ ทำให้ช่องทางการเปิดเผยข้อมูลบางส่วนยังคงเปิดอยู่
Tenable แนะนำให้ผู้จำหน่าย AI เสริมความแข็งแกร่งในการป้องกันการโจมตีแบบทันทีโดยตรวจยืนยันว่ากลไกความปลอดภัย เช่น url_safe ทำงานตามที่ตั้งใจไว้ และโดยแยกคุณลักษณะการเรียกดู การค้นหา และหน่วยความจำเพื่อป้องกันการโจมตีข้ามบริบท
คำแนะนำสำหรับทีมงานรักษาความปลอดภัย
Tenable แนะนำให้ผู้เชี่ยวชาญด้านความปลอดภัย:
- ปฏิบัติต่อเครื่องมือ AI เหมือนกับเป็นพื้นผิวการโจมตีสด ไม่ใช่ผู้ช่วยแบบพาสซีฟ
- ตรวจสอบและติดตามการรวม AI เพื่อดูการจัดการหรือการรั่วไหลของข้อมูล
- ตรวจสอบคำขอหรือผลลัพธ์ที่ผิดปกติซึ่งอาจเป็นสัญญาณการฉีดทันที
- ทดสอบและเสริมสร้างการป้องกันเส้นทางการฉีดและการระบายออก
- จัดทำการควบคุมการกำกับดูแลและการจำแนกประเภทข้อมูลสำหรับการใช้งาน AI
“งานวิจัยนี้ไม่ใช่แค่การเปิดเผยข้อบกพร่อง แต่เป็นการเปลี่ยนแปลงวิธีการรักษาความปลอดภัยของ AI” เบิร์นสไตน์กล่าวเสริม “ทั้งผู้คนและองค์กรต่าง ๆ จำเป็นต้องสมมติว่าเครื่องมือ AI สามารถถูกควบคุมและออกแบบการควบคุมให้เหมาะสมได้ นั่นหมายถึงการกำกับดูแล การปกป้องข้อมูล และการทดสอบอย่างต่อเนื่อง เพื่อให้มั่นใจว่าระบบเหล่านี้ทำงานเพื่อเรา ไม่ใช่เพื่อเรา”
อ่านงานวิจัยฉบับเต็มได้ที่นี่: https://www.tenable.com/blog/hackedgpt-novel-ai-vulnerabilities-open-the-door-for-private-data-leakage
