L’exploit développé par l’équipe “Offensive AI Research Lab” de l’université Ben-Gurion en Israël est une attaque par canal auxiliaire qui permet de déchiffrer les réponses des assistants d’IA avec une précision étonnante. Cette attaque affecte tous les principaux chatbots, à l’exception de Google Gemini.
Voici comment fonctionne l’attaque :
- Canal auxiliaire dans les jetons : Les chatbots utilisent des jetons pour composer leurs réponses. Ces jetons sont envoyés à la volée dès qu’ils sont générés, afin que les utilisateurs reçoivent les réponses en continu, mot par mot, au fur et à mesure qu’elles sont générées. Bien que la transmission des jetons soit chiffrée, la taille de chaque jeton reste la même, qu’il soit chiffré ou non.
- Analyse de la séquence de longueur de jeton : En surveillant la taille des paquets de données envoyés, un attaquant peut déduire la longueur de chaque jeton. Cette séquence de longueur de jeton peut être utilisée pour reconstruire les réponses originales.
- Attaque par inférence de jetons : Les données brutes obtenues sont ensuite traitées par deux modèles d’IA spécialement entraînés pour déduire les réponses originales en fonction du contexte. Cette étape permet de déchiffrer les réponses avec une précision remarquable, même en l’absence de connaissances sur le contenu réel.
Malgré le chiffrement du trafic, cette attaque permet de lire les conversations privées avec les assistants d’IA, compromettant ainsi la confidentialité des utilisateurs. Les chercheurs recommandent deux approches pour atténuer cette vulnérabilité : cesser d’envoyer les jetons un par un ou appliquer le “padding” pour rendre tous les paquets de la même longueur. Cependant, ces solutions pourraient compromettre l’expérience utilisateur ou augmenter le volume de trafic.
En outre, une étude de Salt Labs a révélé des failles de sécurité critiques dans les plug-ins ChatGPT, exposant ainsi les entreprises à de nouveaux risques. Ces vulnérabilités pourraient permettre à des attaquants de prendre le contrôle du compte d’une organisation sur des sites Web tiers ou d’accéder à des informations sensibles. Bien que ces failles aient été rapidement corrigées après leur divulgation, elles soulignent l’importance de protéger les plug-ins des outils d’IA contre les attaques potentielles.