Lorsque ChatGPT a été lancé pour la première fois en novembre 2022, certains craignaient que le chatbot avancé, qui avait été formé sur du texte extrait d’Internet, ne puisse être utilisé pour écrire des logiciels malveillants. Le modèle de menace était que les acteurs malveillants n’avaient plus besoin de compétences avancées en programmation pour écrire du code capable d’inciter les victimes à transmettre des informations personnellement identifiables (PII). Au lieu de cela, les adversaires pourraient simplement inviter ChatGPT avec des mots-clés appropriés et copier et coller la sortie, plutôt que d’avoir à résoudre la programmation à partir de zéro. Mais il s’avère qu’un bogue ChatGPT a rendu la collecte de PII encore plus facile.
Briefing Kaspersky : ChatGPT et le langage de la cybersécurité
Tous les experts en cybersécurité ne partagent pas les mêmes inquiétudes quant aux dangers que ChatGPT soit utilisé par des acteurs malveillants pour écrire des logiciels malveillants. Les acteurs de la menace distribuent déjà du code et mènent des cyberattaques en échange d’un paiement – une activité appelée Malware-as-a-Service (MaaS). Et donc, le risque de cybersécurité supplémentaire de ChatGPT est discutable. Mais cela ne veut pas dire que le code d’OpenAI est sans risque, car CVE-2023-28858 et CVE- 2023-28859 surbrillance.
Plus tôt ce mois-ci, les utilisateurs de ChatGPT ont signalé que les détails affichés dans leur barre d’historique de chat n’étaient pas les leurs. L’IA générative consiste à créer du texte et des images en fonction d’invites, mais cette créativité ne doit pas déborder sur les données des abonnés. Le comportement inhabituel s’est étendu à l’affichage des noms, des adresses e-mail, des adresses postales et même des numéros de carte de crédit partiels d’autres abonnés dans les espaces réservés de la page de compte d’utilisateur.
Pas mon numéro
Les utilisateurs passant de l’aperçu de recherche gratuit d’OpenAI sur ChatGPT à une version payante de ChatGPT Plus ont signalé que les demandes de code de validation contenaient des numéros de téléphone et des adresses e-mail qu’ils ne reconnaissaient pas. Et la raison de cette confusion ? Une erreur de programmation connue sous le nom de condition de concurrence, où plutôt que de fournir des données de manière logique et prévisible, les processus se disputent les ressources de manière non coordonnée et imprévisible.
Les conditions de concurrence peuvent entraîner le plantage des programmes car le code est alimenté avec des résultats inattendus ou incorrects. Mais, selon la gestion des erreurs, les applications peuvent continuer à s’exécuter et traiter la sortie erronée comme authentique. Et cela semble être le cas pour la mise en œuvre par OpenAI de son interface utilisateur Web ChatGPT.