OpenAI, la società dietro lo sviluppo dell’agente conversazionale basato sull’intelligenza artificiale, ChatGPT, ha recentemente riconosciuto una potenziale violazione dei dati nel codice sorgente del chatbot a causa di un difetto del software.
OpenAI ha rivelato che la vulnerabilità nella libreria open source Redis, utilizzata da ChatGPT, ha consentito ad alcuni utenti di accedere ai titoli dei registri delle chat di un altro utente attivo. Inoltre, in alcuni casi, questi utenti potrebbero anche essere riusciti a visualizzare il primo messaggio di una nuova conversazione, ma solo se entrambe le parti erano attive contemporaneamente sul chatbot.
La società ha riconosciuto che il difetto del software potrebbe anche aver provocato l’esposizione accidentale di informazioni relative ai pagamenti per gli utenti premium di ChatGPT che erano attivi sulla piattaforma tra l’1 e le 10 PST del 20 marzo.
I nomi, gli indirizzi e-mail, gli indirizzi di pagamento, il tipo di carta di credito e le ultime quattro cifre dei numeri della carta di pagamento degli utenti interessati potrebbero essere stati visibili ad altri utenti durante questo periodo, sebbene i dettagli completi della carta di pagamento non siano mai stati esposti.
OpenAI ha rassicurato che il numero di utenti interessati da questo bug è minimo. Sebbene la perdita di dati in ChatGPT sia stata prontamente risolta con danni limitati, poiché gli abbonati paganti interessati rappresentavano meno dell’1% degli utenti totali, solleva preoccupazioni sui potenziali rischi che potrebbero avere un impatto sui chatbot e sui loro utenti in futuro.
Questo incidente può fungere da segnale di avvertimento per l’importanza di stabilire le priorità e migliorare le misure di sicurezza messe in atto per questi agenti conversazionali basati sull’intelligenza artificiale.
In che modo OpenAI gestisce la violazione dei dati di ChatGPT?
OpenAI ha prontamente risolto il problema disabilitando ChatGPT non appena il bug del software è stato rilevato il 24 marzo e la società è stata in grado di risolvere il problema lo stesso giorno. OpenAI ha inoltre assicurato al pubblico che è in procinto di informare tutte le persone che potrebbero essere state interessate dalla fuga di dati.
OpenAI ha collaborato con Insetto lanciare un programma di ricompensa bugche la società afferma fa parte del suo “impegno per proteggere l’IA” e per “riconoscere e premiare le preziose intuizioni dei ricercatori di sicurezza che contribuiscono a mantenere la nostra tecnologia e la nostra azienda al sicuro”.
Il programma bug bounty lanciato in collaborazione con Bugcrowd consentirà alle persone di segnalare eventuali difetti di sicurezza, vulnerabilità o bug trovati all’interno dei sistemi di OpenAI in cambio di un compenso monetario. Le ricompense per le segnalazioni idonee andranno da $ 200 per i risultati di bassa gravità a $ 20.000 per le scoperte eccezionali.
Man mano che i chatbot continuano a evolversi e diventare più avanzati, è probabile che introducano nuove minacce informatiche, sia attraverso le loro capacità linguistiche avanzate che il loro uso diffuso. Questo li rende un obiettivo primario per gli aggressori informatici da sfruttare come potenziale vettore di attacco. È fondamentale che gli sviluppatori rimangano vigili e implementino solide misure di sicurezza per mitigare tali rischi e salvaguardare la privacy e la sicurezza dei loro utenti.