Перейти к содержанию

Как можно прочитать зашифрованные сообщения от ChatGPT и других чат-ботов | Блог Касперского


Рекомендуемые сообщения

Опубликовано

Израильские исследователи из Offensive AI Lab (что можно примерно перевести как «Лаборатория наступательного ИИ») опубликовали работу, описывающую метод восстановления текста из перехваченных сообщений от чат-ботов с ИИ. Рассказываем о том, как работает эта атака и насколько она опасна в реальности.

Какую информацию можно извлечь из перехваченных сообщений чат-ботов на основе ИИ

Разумеется, чат-боты отправляют сообщения в зашифрованном виде. Однако в реализации как самих больших языковых моделей (LLM), так и основанных на них чат-ботов есть ряд особенностей, из-за которых эффективность шифрования серьезно снижается. В совокупности эти особенности позволяют провести так называемую атаку по сторонним каналам, когда содержимое сообщения удается восстановить по тем или иным сопутствующим данным.

Чтобы понять, что же происходит в ходе этой атаки, придется слегка погрузиться в детали механики LLM и чат-ботов. Первое, что надо знать: большие языковые модели оперируют не отдельными символами и не словами как таковыми, а так называемыми токенами — своего рода смысловыми единицами текста. На сайте OpenAI есть страница под названием «Токенизатор», которая позволяет понять, как это работает.

Пример токенизации текста моделями GPT-3.5 и GPT-4

Этот пример демонстрирует, как работает токенизация сообщений моделями GPT-3.5 и GPT-4. Источник

Вторую особенность, важную для данной атаки, вы наверняка замечали, когда общались с чат-ботами: они присылают ответ не крупными кусками, а постепенно — примерно так же, как если бы его печатал человек. Но, в отличие от человека, LLM пишут не отдельными символами, а токенами. Соответственно, чат-бот отправляет сгенерированные токены в режиме реального времени, один за другим. Вернее, так делает большинство чат-ботов — исключение составляет Google Gemini, из-за чего он не подвержен данной атаке.

Третья особенность: на момент публикации исследования большинство существующих чат-ботов, перед тем как зашифровать сообщение, не использовали сжатие, кодирование или дополнение (это метод повышения криптостойкости, в котором к полезному сообщению добавляются мусорные данные, чтобы снизить предсказуемость).

Использование этих особенностей делает возможным атаку по сторонним каналам. Хотя перехваченные сообщения от чат-бота невозможно расшифровать, из них можно извлечь полезные данные — а именно длину каждого из отправленных чат-ботом токенов. В итоге у атакующего получается последовательность, напоминающая игру в «Поле чудес» на максималках, не для одного слова, а для целой фразы: что именно зашифровано, неизвестно, но известна длина отдельных слов токенов.

 

Посмотреть статью полностью

Опубликовано

Очень очевидная, но не очень полезная атака, строго говоря. Я этим пользовался ещё несколько лет назад в реальном проекте и рассуждал как раз также - раз нет дополнений, то могу догадываться о длине. У меня получилось раскрыть данные внутри HTTPS, но это прикольно как зарядка для ума, а не в прям боевом использовании. Потому что для раскрытия данных у меня было общее понимание происходящего. Мне сначала понадобилось собрать "знаний" (не знаю, как правильно выразиться: имею в виду собрать максимум доступной технической инфы о том, что собираюсь взламывать) и только потом находить эти знания в https трафике.

 

В моём случае я мог понимать, какой файл качает пользователь, т.к. знал, сколько байтиков занимает запрос к каждому из целевых файлов. А их рассчитал заранее, когда собирал знания.

 

Мне вот эта статья понравилась только тем, что я проделал всё это для другого проекта ещё в 19-ом году и сделал это просто из любопытства. Хотя уверен, это всё настолько на поверхности, что и до меня так делали миллионы раз. :)

Опубликовано
1 час назад, Umnik сказал:

Хотя уверен, это всё настолько на поверхности, что и до меня так делали миллионы раз.

Кто первый отписался, того и тапки. :) 

Поэтому оказывается, тебя обошли израильские исследователи!

  • Улыбнуло 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      Автор KL FC Bot
      Вечером 15 сентября началась новая атака на популярнейший реестр JavaScript-компонентов, npm. Ряд пакетов, некоторые из которых имеют миллионы еженедельных загрузок, были заражены вредоносным кодом, крадущим токены и ключи аутентификации. Его самая интересная особенность – он способен распространяться автоматически, заражая другие доступные пакеты. Среди зараженных пакетов отметим популярный @ctrl/tinycolor. По данным Aikido Security были скомпрометированы почти 150 пакетов, включая пакеты Crowdstrike.
      Методика распространения и алгоритм работы
      Способ первого заражения и «нулевой пациент» на сегодня неизвестны. Поскольку «почерк» атаки очень похож на недавний инцидент s1ngularity, возможно, это тоже был фишинг. Но дальнейшая цепочка заражения такова:
      Вредоносный код добавляется в скомпрометированные пакеты в виде постинсталляционного скрипта, сохраненного в файле bundle.js. Когда жертва устанавливает себе зараженный пакет, скрипт начинает свою работу. В отличие от прошлого инцидента, скрипт кроссплатформенный и работает как в *nix-средах, так и под Windows. Скрипт скачивает подходящую для платформы версию TruffleHog, легитимного инструмента поиска секретов. TruffleHog находит в локальных файловых системах и доступных репозиториях строки с высокой энтропией. Это криптографические ключи, API-токены и другая подобная информация. Кроме поиска через TruffleHog, скрипт проверяет полезные токены, анализируя переменные окружения, например GITHUB_TOKEN, NPM_TOKEN, AWS_ACCESS_KEY_ID и AWS_SECRET_ACCESS_KEY. Затем он проверяет, действительны ли они, запросами к API-узлам npm whoami и GitHub user. Затем скрипт компрометирует пакеты npm, к которым у атакованного пользователя есть доступ на публикацию. Для этого он скачивает для заражаемого пакета его текущую версию из npm, увеличивает подверсию на 1, добавляет ссылку на постинсталляционный сценарий (postinstall hook) и записывает свою копию в файл bundle.js. Троянизированный таким образом пакет «новой версии» публикуется в npm. Репозитории жертвы помечаются как публичные, что иногда является отдельной, более важной утечкой.  
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Один из самых больших страхов в жизни человека — потеря домашнего питомца. Неважно, заплутала ли случайно собака в парке во время прогулки или удрала ли кошка исследовать окрестности дачи: любое из подобных событий — мощнейший источник стресса как для человека, так и для животного.
      Разумеется, для животных существуют геотрекеры, но большинство из них работает нестабильно там, где нет Интернета, например в лесу или парке, и там, где сигнал навигационных спутников заблокирован, — скажем, в подвалах, любимых «укрытиях» сбежавших кошаков. Кроме того, подобным геотрекерам нужны мощная батарея и своя SIM-карта, и, вдобавок к высокой цене самого трекера, они требуют постоянных расходов на связь и регулярной зарядки.
      Мы в «Лаборатории Касперского» создали новый сервис — PetKa — для поиска пропавших питомцев в городах. PetKa помогает защитить ваших питомцев и вернуть их домой в случае пропажи. Сегодня расскажем, как устроено наше решение и как начать им пользоваться.
      Умная метка Kaspersky Tag
      Сервис PetKa состоит из одной или нескольких (если у вас больше одного питомца) умных меток Kaspersky Tag и приложения PetKa для Android. Вы прикрепляете к ошейнику вашего любимца умную метку-маячок, авторизуетесь в приложении PetKa через My Kaspersky, добавляете профиль питомца, привязываете его метку в приложении и гуляете как и раньше — только теперь без стресса. PetKa не только обеспечивает отслеживание ваших меток Kaspersky Tag на карте, но и позволяет объединяться с другими пользователями для совместного поиска пропавших животных.
      Так устроена умная метка Kaspersky Tag
      Метка Kaspersky Tag объединяет в себе преимущества технологий GPS и Bluetooth, что позволяет точно определять местоположение питомца. Сигнал от метки будет обнаружен даже в труднодоступных областях: подвалах, оврагах и других сложных местах. В среднем приложение ловит Bluetooth-сигнал метки в обычных условиях в радиусе 60 метров, а на открытых пространствах — например, в парке — до 120 метров. Однако если вы предпочитаете прогулки в черте города, рядом с домами и другими препятствиями, то это расстояние может снижаться до 30 метров.
      В радиусе действия Bluetooth-сигнала вы можете "позвонить" на метку, нажав кнопку Проиграть мелодию в приложении, и найти питомца по звуку. В нашем внутреннем тестировании (а мы полгода испытывали PetKa на собственных любимцах в реальных условиях) внезапно выяснилось, что животные очень быстро понимают: если метка на ошейнике зазвучала, надо со всех лап нестись к хозяину за вкусняшкой.
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Появится ли в 2027 году сверхразумный ИИ, пока не понятно. Зато прогноз на 2026-й уже ясен: год пройдет под знаком доступных ИИ-агентов — больших мультимодальных моделей, способных выстраивать и выполнять цепочку действий по команде пользователя. Уже сейчас «агентские» функции есть на сайте ChatGPT и других провайдеров, но для максимальной эффективности они должны выполнять нужные действия не где-то в облаке, а прямо на компьютере у пользователя. В идеале это, наверное, «ИИ-ОС», но создать операционную систему сложно. Поэтому все сосредоточились на понятном пользователям и эффективном варианте: ИИ-браузере. Под «ИИ-браузером» мы понимаем обычное приложение для просмотра сайтов, в которое глубоко внедрен доступ к LLM. ИИ-модель «видит» все открытые веб-страницы, может обрабатывать информацию с них и отдавать браузеру те же команды, что обычно дает пользователь: открыть, кликнуть, ввести, сохранить, загрузить.
      Пользу от такого решения видят все лидеры рынка — Perplexity выпустила собственный Comet Browser и недавно делала многомиллиардное предложение по покупке Chrome, а OpenAI запустила разработку собственного браузера. У Google и Microsoft ситуация проще — они интегрировали Gemini и Copilot в свои Chrome и Edge. Firefox идет к той же цели с другой стороны и постепенно интегрирует ИИ-функции глубоко в браузер.
      В результате уже сейчас реклама побуждает провести «апгрейд браузера», либо скачав новый, либо активировав «умные функции» в существующем. А в будущем году она будет звучать из каждого утюга. Остается решить: зачем это вам и стоят ли выгоды появляющихся рисков?
      Зачем вам ИИ-браузер
      Идеально воплощенный ИИ-ассистент в браузере может разгрузить владельца от многих нудных задач. Одной кнопкой можно получить краткую выжимку длинной статьи или двухчасового видео; вместо чтения длинного документа — задать вопрос по содержимому страницы. Все это происходит быстро и естественно, без необходимости копировать и вставлять ссылки или тексты на вкладке чат-бота.
      Но настоящий прорыв принесут именно агентские функции, то есть возможность не просто обрабатывать данные, а выполнять конкретные действия. Например, открыть любимый маркетплейс и написать ассистенту «положи мне в корзину все, что нужно для трехдневного турпохода в августе».
      В отличие от аналогичных функций, уже доступных на веб-сайтах ИИ-провайдеров, «агентурная работа» происходит прямо на вашем компьютере. Все нужные сервисы узнают вас (вы же вошли на сайты?), операции происходят гораздо быстрее, чем на облачной виртуальной машине — правда, не факт, что результативнее.
      Функции подбора информации могут выдавать более релевантные результаты в ИИ-браузере на вашем устройстве, потому что ботов ChatGPT, Claude, Perplexity и других не пускают на многие сайты, и поэтому LLM не учитывают в своих ответах многие актуальные источники. С запуском тех же функций из браузера эта проблема существенно уменьшится, ведь ИИ-ассистент будет заходить на сайты от вашего лица. И, если вы подписаны на какие-то закрытые источники данных (научные журналы, биржевые сводки), ИИ-агент сможет при необходимости использовать их в своей работе.
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Незаметно для нас мессенджеры стали неотъемлемой частью жизни, средой, где мы проводим значительную часть повседневных активностей. Мы используем их для общения с друзьями, семьей и коллегами, для чтения новостей, развлечения и даже для продвижения бизнеса или своего личного бренда. Разумеется, такой популярный инструмент неизбежно привлекает и злоумышленников. Поэтому, кроме комфорта и удобства, мессенджеры привносят в нашу жизнь и ряд рисков.
      В этом посте мы решили посмотреть на основные угрозы для пользователей мессенджеров с точки зрения производителя защитных решений и продумать, как разработчики могли бы обеспечить дополнительную безопасность своих коммуникационных приложений.
      Чрезмерные разрешения
      Каждое современное приложение при установке и во время использования просит разрешения на доступ к различным функциям мобильного устройства: контактам, камере, микрофону, геолокации, галерее фотографий и так далее. В большинстве случаев эти разрешения действительно необходимы для работы приложения, но иногда пользователи дают гораздо больше прав, чем это нужно для нормальной работы в данный момент. При этом далеко не всегда пользователю очевидно, зачем именно мессенджеру нужен тот или иной доступ и, что еще важнее, — что происходит с данными, к которым этот мессенджер доступ получил (особенно если контроль над приложением захватят злоумышленники). А между тем, лишние доступы могут нести угрозу не только приватности, но и безопасности всего устройства в целом. Чтобы минимизировать эти риски, следует придерживаться нескольких простых правил.
      Во-первых, мы рекомендуем придерживаться принципа минимально необходимых привилегий. Это значит, что доступ к каким-либо функциям и данным следует разрешать, только если пользователь понимает, для чего это нужно, и только на то время, когда это действительно необходимо. Например, простому текстовому мессенджеру едва ли нужен доступ к точной геолокации. Или если вы не собираетесь совершать видеозвонки через конкретный мессенджер, то и доступ к камере ему ни к чему.  
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Несколько популярных npm-пакетов, используемых во множестве веб-проектов были скомпрометированы и троянизированы неизвестными злоумышленниками. Атакующие, при помощи фишинговой атаки на мейнтейнеров, смогли получить доступ как минимум к одному репозиторию и снабдить пакеты вредоносным кодом, служащим для охоты за криптоактивами. Все веб-приложения, собранные с применением троянизированных пакетов, превращаются в криптодрейнер. А таковых может быть достаточно много, поскольку у скомпрометированных пакетов было более двух миллиардов загрузок в день (по данным Aikido security).
      Чем опасны троянизированные пакеты, использованные в этой атаке?
      Во все пакеты был добавлен обфусцированный Javascript. Если скомпрометированный пакет используется в веб-приложении, то вредоносный код активизируется на устройствах пользователей, обращающихся к этому приложению. Действуя на уровне браузера, он перехватывает сетевой трафик и API-запросы и изменяет данные, связанные с криптокошельками Ethereum, Bitcoin, Solana, Litecoin, Bitcoin Cash и Tron. Зловред подменяет их адреса и перенаправляет транзакции в кошельки злоумышленников.
      Примерно через три часа после начала атаки администрация npm начала удалять обнаруженные заражённые пакеты, но сколько точно раз их успели скачать за это время – точно неизвестно.
       
      View the full article
×
×
  • Создать...