Los chatbots impulsados por IA se han vuelto una herramienta imprescindible para muchos usuarios, quienes incluso llegan a realizar a modelos como ChatGPT o Copilot consultas personales o de carácter sensible, pensando que, al estar cifrado de extremo a extremo, nadie puede leer sus conversaciones. Pero una investigación demuestra que estos no son tan seguros como parecen y que, incluso, los hackers pueden acceder a estos chats con una muy buena precisión.
Según ha descubierto Offensive AI Lab, los hackers pueden leer estas conversaciones mediante un ataque de canal lateral, que consiste en recopilar información gracias a la implementación física de un sistema, incluyendo datos del consumo energético, el tiempo que requiere el modelo en procesar los datos o, incluso, la radiación electromagnética que se produce durante un periodo determinado. Después, esta información se procesa a través de una IA diseñada específicamente para ello, quien, de media, puede descifrar las conversaciones del 55 % de las respuestas capturadas de ChatGPT o Copilot. Un 29 % de las veces se revelan respuestas con una precisión total de las palabras.
Esto se deba a que los modelos de lenguaje como ChatGPT generan y envían respuestas a través de una serie de tokens que se transmiten desde el servidor al usuario. Estos están cifrados de extremo a extremo, pero los atacantes utilizan el canal lateral de la longitud del token gracias al tamaño de los paquetes, que revelan este dato.
Al parecer, los principales chatbots, como ChatGPT o Copilot, que están cifrados de extremo a extremo, tienen este inconveniente. Solo Gemini, la IA de Google, se salva de la posibilidad de que los hackers puedan acceder a las conversaciones a través del ataque de canal lateral, asegura Offensive AI Lab.
ChatGPT, Copilot y otros modelos de IA tienen el mismo problema
La firma de investigación asegura que hay una forma de evitar que los hackers puedan leer los chats de IAs como ChatGPT o Copilot. Se trata de entrenar al modelo realizando ataques sin formatos para mejorar su capacidad de inferir la secuencia de tokens.
El enfoque consiste en capacitar a un LLM de última generación para que traduzca secuencias de longitud simbólica en oraciones legibles. Además, al proporcionar al LLM el contexto de oraciones previamente inferidas, el LLM puede limitar aún más las oraciones posibles, reduciendo así la entropía involucrada en la inferencia de párrafos completos.
Offensive AI Lab.
En cualquier caso, y hasta que OpenAI (ChatGPT) o Microsoft (Copilot) (por nombrar algunas compañías con chatbots de inteligencia artificial) no aporten una solución, este descubrimiento supone un grave problema de privacidad por parte de los usuarios que utilizan estos modelos. Sobre todo, si tenemos en cuenta que tienden a realizar preguntas de carácter personal y sensible, como dudas sobre interrumpir un embarazo, sobre enfermedades, etc.
Por el momento, lo único que pueden hacer los usuarios es no revelar información personal a chatbots como ChatGPT o Copilot. Muchos de estos modelos, de hecho, lanzan una advertencia similar la primera vez que se abre una ventana de chat.