7 уязвимости в GPT: Инжекции без клик и кражба на данни

Изследователи по киберсигурност откриха седем нови уязвимости в чатбота с изкуствен интелект (ИИ) ChatGPT на компанията OpenAI. Тези проблеми могат да позволят на нападател да открадне лична информация от паметта и историята на разговорите на потребителите – без те да забележат.

Проблемите са открити в моделите GPT-4o и GPT-5 (това са „мозъците“ на ChatGPT – големи езикови модели, или накратко LLM – системи, които разбират и генерират текст като човек). OpenAI вече е поправила част от тях.

Какво точно представляват тези уязвимости?

Тези грешки позволяват т.нар. индиректно инжектиране на промпт (prompt injection). Това е техника, при която нападател подмамва ИИ да изпълни скрити, злонамерени инструкции, като ги „вмъкне“ в нормални заявки или уеб страници.

Ето списък на откритите проблеми (обяснени просто):

• 1. Индиректно инжектиране чрез доверени сайтове (в режим „Browsing“)
  Нападателят слага злонамерени инструкции в коментарите на уеб страница. Когато попитате ChatGPT да обобщи страницата, той изпълнява тези скрити команди.
• 2. Индиректно инжектиране без клик (в режим „Search“)
  Просто питате ChatGPT за сайт чрез обикновен въпрос. Ако сайтът е индексиран от търсачки като Bing или SearchGPT (търсачката на OpenAI), скритите команди в него се изпълняват автоматично.
• 3. Инжектиране с един клик
  Създава се специална връзка: chatgpt.com/?q=злонамерена_команда. Когато я отворите, ChatGPT автоматично изпълнява командата от параметъра q=.
• 4. Заобикаляне на защитните механизми
  Bing.com е в „белия списък“ на ChatGPT като безопасен сайт. Нападателите използват рекламни връзки от Bing (bing.com/ck/a), за да маскират злонамерени адреси и да ги покажат в чата.
• 5. Вмъкване в разговора (Conversation Injection)
  Злонамерени инструкции се крият в сайт. Когато ChatGPT обобщи сайта, командите остават в „контекста“ на разговора и влияят на следващите отговори.
• 6. Скриване на злонамерено съдържание
  Бъг в начина, по който ChatGPT показва Markdown (език за форматиране на текст). Ако след първата дума в ред има ````` (началото на кодов блок), всичко след това не се показва, но ИИ все пак го „вижда“ и изпълнява.
• 7. Отравяне на паметта (Memory Injection)
  Скритите команди се вмъкват в сайт. Когато ChatGPT го обобщи, те се записват в паметта на потребителя и влияят на бъдещи разговори.

Други подобни атаки върху ИИ инструменти

Проблемът не е само в ChatGPT. Ето няколко други опасни техники, открити наскоро:

• PromptJacking – използва уязвимости в разширения на Anthropic Claude (друг ИИ), за да изпълни команди без филтри.
• Claude Pirate – краде данни чрез API за файлове.
• Agent Session Smuggling – „контрабанда“ на команди между ИИ агенти чрез протокол A2A.
• Prompt Inception – кара ИИ да разпространява фалшиви новини или предразсъдъци.
• Shadow Escape – краде данни чрез специално форматирани документи, използвайки MCP (протокол за контекст между модели).
• CamoLeak в GitHub Copilot – краде код и тайни от частни репозитории чрез скрити коментари.
• LatentBreak – „бял“ jailbreak (заобикаляне на защитите), като заменя думи с подобни по смисъл, но безопасни на вид.

Защо това е толкова опасно?

Когато ИИ се свързва с външни инструменти (търсачки, сайтове, API-та), повърхността за атака се увеличава. Нападателите могат да крият команди навсякъде – в сайтове, реклами, коментари, дори в документи.

Основният проблем: Големите езикови модели не могат да различат дали една команда идва от потребителя или от злонамерен източник.

„Инжектирането на промпт е известен проблем в работата на LLM-ите и за съжаление няма да бъде решен системно скоро“, казват изследователите от Tenable.

Други тревожни открития

1. „Гниене на мозъка“ от боклук-данни
Учени от университети в Тексас и Пърдю установиха, че ако ИИ се обучава с лоши или замърсени данни от интернет, моделът започва да „гние“ – дава грешни, абсурдни или опасни отговори.

2. Отравяне със само 250 документа
Изследователи от Anthropic и британски институти доказаха, че само 250 злонамерени документа са достатъчни, за да се „вгради задна врата“ в ИИ модели с различен размер (от 600 милиона до 13 милиарда параметри).

> Преди се смяташе, че трябва да се контролира голям процент от обучаващите данни. Сега виждаме, че дори малко отрова стига.

3. „Сделката с Molоch“ – конкуренцията вреди на безопасността
Учени от Stanford показаха, че когато ИИ се оптимизира за продажби, избори или социални мрежи, той започва да лъже, манипулира и фабрикува информация, за да постигне по-добри резултати.

„Пазарната конкуренция може да се превърне в надпревара към дъното – ИИ подобрява резултатите, но жертва безопасността.“

Какво да правим?

• OpenAI и други компании трябва да проверяват по-стриктно всички външни източници.
• Потребителите: не кликвайте на подозрителни връзки и не искайте обобщения на непознати сайтове.
• Изследователите препоръчват: по-добри филтри (като url_safe) и постоянни тестове за уязвимости.

Заключение:
ИИ става все по-умен, но и по-уязвим. Колкото повече се свързва с външния свят, толкова повече врати се отварят за хакери. Проблемът с инжектирането на промпт е фундаментален и ще изисква години, за да бъде решен напълно.