ホワイトハットハッカーのJohann Rehberger氏が最近、衝撃的なセキュリティホールを公開しました。ChatGPTがハッカーによってスパイウェアとして利用され、ユーザーデータの継続的な窃取に利用できることを発見したのです。Rehberger氏は、この攻撃手法を「SpAIware」と名付け、主にmacOS版ChatGPTアプリケーションの新しい機能である長期記憶をターゲットにしています。
この脆弱性は、最近導入されたChatGPTの永続的なメモリ機能を利用しています。巧妙に設計されたプロンプトの注入によって、ハッカーはChatGPTの長期記憶に悪意のあるコマンドを埋め込み、ユーザーの会話内容をリモートサーバーに送信させることができます。さらに懸念されるのは、この攻撃はユーザーアカウントへの直接アクセスを必要とせず、画像やウェブサイトに埋め込まれたペイロードを通じて実行できることです。
画像注記:画像はAIによって生成され、画像ライセンス提供元はMidjourneyです。
OpenAIは当初、Rehberger氏の報告に冷淡な反応を示しましたが、彼が概念実証を提供した後、開発チームはついに対応を開始しました。現在、OpenAIはChatGPTがデータをリモートサーバーに送信することを禁止する部分的な修正プログラムをリリースしています。しかし、AIは依然として信頼できないソースからのプロンプトを受け入れることができるため、ハッカーは悪意のあるプロンプトを長期記憶に注入する可能性があります。
Rehberger氏は、この攻撃はユーザーにとってほとんど目に見えず、永続的であると強調しています。ユーザーが新しい会話を開始しても、埋め込まれた悪意のあるコマンドはデータの窃取を継続します。現時点では、この脆弱性はChatGPTのmacOSアプリケーション版でのみ確認されており、ウェブ版は影響を受けていません。
潜在的なリスクを防ぐために、ユーザーは未知のウェブサイトや画像をChatGPTでスキャンすることに注意する必要があります。また、アプリケーションのメモリツールを定期的にチェックし、疑わしいエントリを削除することをお勧めします。この事件は、AIの利便性を享受する一方で、「TrustNoAI」(AIを信頼しない)という原則を常に心に留めておくべきであることを改めて私たちに思い出させてくれます。
