Generative künstliche Intelligenzen (KI), die auf großen Sprachmodellen basieren wie ChatGPT, gewinnen erheblich an Leistungsfähigkeit, wenn sie mit dem Internet verbunden sind.
Diese Verbindung ermöglicht es ihnen, neue Informationen direkt aufzunehmen und zu verarbeiten. Das wird durch Plugins für ChatGPT ermöglicht, die OpenAI Ende März dieses Jahres vorgestellt hat.
Sie machen den Chatbot noch flexibler, als er ohnehin schon ist. Aber nach Angaben von Sicherheitsexperten bergen sie auch Risiken.
Vertraue keinen ChatGPT-Plugins blind
Der Sicherheitsforscher und Red Team Director bei Electronic Arts, Johann Rehberger, hat gegenüber Wired über diese Risiken berichtet. Laut Rehberger können ChatGPT-Plugins die Chathistory klauen sowie persönliche Informationen sammeln.
Darüber hinaus ermöglichen sie die Remote-Ausführung von Code auf dem Computer des Benutzers. Er konzentrierte sich insbesondere auf Plugins, die Open Authorization (OAuth) verwenden, eine Autorisierungsmethode, die den Datenaustausch zwischen verschiedenen Konten ermöglicht.
„ChatGPT kann dem Plugin nicht vertrauen“, sagt Rehberger. „Es kann grundsätzlich nicht darauf vertrauen, was vom Plugin zurückkommt, weil es alles Mögliche sein könnte.“
Außerdem ist ein Angriff durch eine sogenannte Cross-Plugin-Anfragefälschung möglich. Dabei öffnet ein Plugin ein weiteres Plugin, welches dann die bösartigen Aktivitäten ausführt.
OpenAI wappnet sich gegen Sicherheitsrisiken bei ChatGPT-Plugins
Niko Felix, ein Sprecher von OpenAI, äußerte sich ebenfalls zu diesem Thema gegenüber Wired. Intern untersucht das Team, wie Angreifer Plugins ausnutzen könnten, um Nutzer anzugreifen. Um dies zu verhindern, werden alle Plugins überprüft, bevor sie in den Store gelangen.
Darüber hinaus fordern sie Entwickler auf, die Plugins so zu gestalten, dass die Nutzer jede Aktion, die das reale Leben beeinflussen kann, wie zum Beispiel das Senden einer E‑Mail, bestätigen müssen.
Mindestens ein Plugin wurde bereits aus dem Store entfernt, da es einen Eintrag auf der GitHub-Seite des Entwicklers erstellt hat, ohne den Nutzer um Erlaubnis zu fragen.