Il 20 marzo, ChatGPT è stato momentaneamente inattivo a causa di un problema di sicurezza scoperto da Gil Nagli, CEO della società di sicurezza informatica Shockwave.cloud, che ha condiviso la vulnerabilità con OpenAI. In seguito, l’azienda ha fornito una spiegazione trasparente su ciò che era successo e come aveva risolto il problema.
La vulnerabilità, chiamata “inganno della cache web”, permetteva agli hacker di accedere silenziosamente all’account di un altro utente di ChatGPT, inclusi i dati di cronologia e di fatturazione degli utenti premium. Tuttavia, l’impatto è stato limitato all’1,2% degli abbonati a ChatGPT Plus per un periodo di nove ore e non ha coinvolto gli utenti non paganti.
Il problema è stato causato da un bug nella libreria open source Redis, aggravato da un aggiornamento software di OpenAI. L’azienda ha subito portato offline ChatGPT per risolvere il problema attraverso due patch separate, implementando la prima patch entro 45 minuti dalla segnalazione di Nagli.
Sebbene Nagli abbia criticato la mancanza di un programma di bug bounty da parte di OpenAI, ha elogiato la velocità con cui l’azienda ha reagito e risolto il problema. Tuttavia, l’espansione delle funzionalità di OpenAI e l’ampliamento della sua base di utenti suggeriscono che potrebbero esserci altri problemi di sicurezza non ancora individuati nel codice.
Bret Kinsella, fondatore di Voicebot e Synthedia, ha suggerito che OpenAI potrebbe aver ricevuto un avviso prezioso da Nagli, ma ha anche affermato che l’azienda dovrebbe continuare a migliorare la sicurezza di ChatGPT e ad eliminare eventuali punti deboli. Infine, Kinsella ha sottolineato che la sicurezza delle soluzioni di chatbot simili a ChatGPT continuerà ad essere una preoccupazione importante per l’industria.
Kinsella ha anche notato che OpenAI sta fornendo servizi API a diverse applicazioni rivolte agli utenti finali, il che rende ancora più importante la sicurezza dell’intero stack di sviluppo e delle applicazioni stesse. Mentre alcuni dei clienti di OpenAI possono essere esperti di sicurezza informatica, la responsabilità ultima di garantire la sicurezza del sistema rimane con l’azienda.
In generale, la vulnerabilità scoperta da Nagli ha evidenziato la necessità di un costante impegno nella sicurezza informatica e della collaborazione tra la comunità della sicurezza informatica e le aziende per risolvere eventuali problemi di sicurezza. Anche se la vulnerabilità è stata risolta rapidamente, ha comunque messo in luce i rischi che possono emergere dalle tecnologie di intelligenza artificiale come ChatGPT.
In futuro, sarà importante per OpenAI e altre aziende di intelligenza artificiale garantire una maggiore trasparenza sulla sicurezza dei propri sistemi e promuovere la collaborazione tra gli sviluppatori e gli esperti di sicurezza informatica per individuare e risolvere eventuali problemi di sicurezza in modo tempestivo.