Wenn Sie sich noch in der Flitterwochenphase Ihrer Beziehung zu Ihrem benutzerdefinierten GPT befinden, tut es uns leid, dass wir Ihnen das Wasser abgraben müssen.
Eine aktuelle Studie der Northwestern University hat eine verblüffende Schwachstelle in benutzerdefinierten Generative Pre-trained Transformers (GPTs) aufgedeckt: Obwohl sie für verschiedene Anwendungen angepasst werden können, sind sie auch anfällig für Prompt-Injection-Angriffe, die sensible Informationen preisgeben können.
GPTs sind fortgeschrittene KI-Chatbots, die von Nutzern von OpenAIs ChatGPT erstellt und gestaltet werden können. Sie verwenden das zentrale Large Language Model (LLM) von ChatGPT, GPT-4 Turbo, werden aber durch zusätzliche, einzigartige Elemente erweitert, die die Interaktion mit dem Benutzer beeinflussen. Zu diesen Anpassungen gehören spezifische Eingabeaufforderungen, einzigartige Datensätze und maßgeschneiderte Verarbeitungsanweisungen, die es ihnen ermöglichen, verschiedene spezialisierte Funktionen zu erfüllen.
Diese Parameter sowie alle sensiblen Daten, die Sie zur Gestaltung Ihres GPT verwenden, können jedoch leicht von Dritten eingesehen werden.
TCN war beispielsweise in der Lage, die vollständige Eingabeaufforderung und vertrauliche Daten eines benutzerdefinierten, öffentlich zugänglichen GPTs zu erhalten, indem es eine grundlegende Technik zum Hacken von Eingabeaufforderungen anwandte: die Frage nach der „anfänglichen Eingabeaufforderung“.
Die strenge Prüfung von über 200 benutzerdefinierten GPTs im Rahmen der Studie ergab eine hohe Anfälligkeit für solche Angriffe und Jailbreaks, was zu einer potenziellen Extraktion der anfänglichen Eingabeaufforderungen und einem unbefugten Zugriff auf hochgeladene Dateien führt.
Die Forscher betonten die doppelten Risiken solcher Angriffe, die die Integrität des geistigen Eigentums und die Privatsphäre der Nutzer bedrohen.
Manchmal, wie in unserem Testfall, kann es so einfach sein, das GPT freundlich aufzufordern, private Informationen preiszugeben.
„Die Studie ergab, dass bei Dateilecks bereits das Bitten um die Anweisungen des GPT zur Offenlegung von Dateien führen kann“, so die Forscher. Die Forscher fanden heraus, dass Angreifer mit etwas Kreativität zwei Arten von Offenlegungen verursachen können: „Extraktion von Systemanweisungen“ und „Dateileckage“. Bei der ersten Variante wird das Modell dazu gebracht, seine Kernkonfiguration und Eingabeaufforderung mitzuteilen, während es bei der zweiten Variante dazu gebracht wird, seinen vertraulichen Trainingsdatensatz offenzulegen und weiterzugeben.
Die Forschung hat auch gezeigt, dass bestehende Schutzmaßnahmen, wie defensive Eingabeaufforderungen, nicht narrensicher gegen ausgeklügelte gegnerische Eingabeaufforderungen sind. Das Team sagte, dass dies einen robusteren und umfassenderen Ansatz zur Sicherung dieser KI-Modelle erfordert.
„Angreifer mit ausreichender Entschlossenheit und Kreativität sind sehr wahrscheinlich in der Lage, Schwachstellen zu finden und auszunutzen, was darauf hindeutet, dass die derzeitigen Verteidigungsstrategien möglicherweise unzureichend sind“, so die Schlussfolgerung des Berichts.
In Anbetracht dieser Ergebnisse und der Tatsache, dass die Nutzer ihre Eingabeaufforderungen ohne jegliche Überwachung oder Prüfung durch OpenAI verändern können, fordert die Studie die KI-Gemeinschaft auf, der Entwicklung stärkerer Sicherheitsmaßnahmen Priorität einzuräumen.
„Um diese Probleme anzugehen, sind zusätzliche Schutzmaßnahmen erforderlich, die über den Umfang einfacher defensiver Prompts hinausgehen, um die Sicherheit benutzerdefinierter GPTs gegen solche Ausbeutungstechniken zu stärken“, so das Fazit der Studie.
Während die Anpassung von GPTs ein immenses Potenzial bietet, dient diese Studie als wichtige Erinnerung an die damit verbundenen Sicherheitsrisiken. Fortschritte in der KI dürfen die Sicherheit und den Schutz der Privatsphäre der Nutzer nicht gefährden. Im Moment ist es vielleicht besser, die wichtigsten oder sensibelsten GPTs für sich zu behalten – oder sie gar nicht erst mit sensiblen Daten zu trainieren.
