ChatGPT mengekspos data penting terkait instruksi, riwayat, dan file yang dijalankannya, sehingga menempatkan GPT publik pada risiko paparan data sensitif, dan menimbulkan pertanyaan tentang keamanan OpenAI secara keseluruhan.
Chatbot AI terkemuka di dunia lebih mudah dibentuk dan multifungsi daripada yang disadari kebanyakan orang. Dengan beberapa rekayasa cepat tertentupengguna dapat menjalankan perintah hampir seperti yang dilakukan di shell, mengunggah dan mengelola file seperti di sistem operasi, dan mengakses cara kerja bagian dalam model bahasa besar (LLM) yang dijalankannya: data, instruksi, dan konfigurasi yang memengaruhi keluarannya.
OpenAI berpendapat bahwa ini semua memang disengaja, namun Marco Figueroa, manajer program bug-bounty AI generatif (GenAI) di Mozilla yang telah mengungkap kekhawatiran injeksi cepat sebelumnya di ChatGPTtidak setuju.
“Itu bukan fitur yang terdokumentasi,” katanya. “Saya pikir ini murni cacat desain. Hanya masalah waktu sampai sesuatu terjadi, dan zero-day ditemukan,” berdasarkan kebocoran data.
Injeksi Cepat: Apa yang Akan Diberitahukan ChatGPT kepada Anda
Figueroa tidak bermaksud untuk mengungkap inti dari ChatGPT. “Saya ingin memfaktorkan ulang beberapa kode Python, dan saya menemukan ini,” kenangnya. Saat dia meminta model untuk memfaktorkan ulang kodenya, model tersebut memberikan respons yang tidak terduga: direktori tidak ditemukan. “Aneh, kan? Ini seperti a [glitch in] Matriks.”
Apakah ChatGPT memproses permintaannya menggunakan lebih dari sekedar pemahaman umum tentang pemrograman? Apakah ada sistem file yang tersembunyi di bawahnya? Setelah bertukar pikiran, dia memikirkan perintah lanjutan yang mungkin bisa membantu menjelaskan masalah ini: “list files /”, terjemahan bahasa Inggris dari perintah Linux “ls /”.
Sebagai tanggapan, ChatGPT menyediakan daftar file dan direktorinya: yang umum di Linux seperti “bin”, “dev”, “tmp”, “sys”, dll. Rupanya, kata Figueroa, ChatGPT berjalan di distribusi Linux “Debian Bookworm, ” dalam lingkungan yang terkontainerisasi.
Dengan menyelidiki sistem file internal bot — dan khususnya, direktori “/home/sandbox/.openai_internal/” — dia menemukan bahwa selain hanya mengamati, dia juga dapat mengunggah file, memverifikasi lokasinya, memindahkannya, dan mengeksekusinya.
Akses OpenAI: Fitur atau Cacat?
Dari sudut pandang tertentu, semua penambahan visibilitas dan fungsionalitas ini merupakan hal yang positif — menawarkan lebih banyak cara bagi pengguna untuk menyesuaikan dan meningkatkan cara mereka menggunakan ChatGPT, dan meningkatkan reputasi OpenAI dalam hal transparansi dan kepercayaan.
Memang benar, risiko bahwa pengguna dapat melakukan sesuatu yang berbahaya di sini — misalnya, mengunggah dan menjalankan skrip Python berbahaya — diperkecil dengan fakta bahwa ChatGPT berjalan di lingkungan sandbox. Secara teori, apa pun yang dapat dilakukan pengguna akan dibatasi hanya pada lingkungan spesifik mereka, dan tidak dapat diakses oleh infrastruktur OpenAI yang lebih luas serta data paling sensitif.
Figueroa memperingatkan, betapa luasnya informasi ChatGPT bocor melalui injeksi cepat suatu hari nanti mungkin bisa membantu peretas menemukan kerentanan zero-day, dan keluar dari kotak pasir mereka. “Alasan mengapa saya tersandung pada semua yang saya lakukan adalah karena kesalahan. Inilah yang dilakukan peretas [to find bugs],' katanya. Dan jika coba-coba tidak berhasil, dia menambahkan, 'LLM dapat membantu Anda dalam mencari cara untuk melewatinya.”
Dalam email ke Dark Reading, perwakilan OpenAI menegaskan kembali bahwa mereka tidak menganggap semua ini sebagai kerentanan, atau perilaku yang tidak terduga, dan mengklaim bahwa ada “ketidakakuratan teknis” dalam penelitian Figueroa. Dark Reading telah menindaklanjuti informasi yang lebih spesifik.
Resiko Yang Lebih Segera: Rekayasa Terbalik
Namun ada satu risiko di sini, yang tidak terlalu abstrak.
Selain file Linux standar, ChatGPT juga memungkinkan penggunanya mengakses dan mengekstrak lebih banyak informasi yang dapat ditindaklanjuti. Dengan petunjuk yang tepat, mereka dapat mengetahui instruksi internalnya — aturan dan pedoman yang membentuk perilaku model. Dan bahkan lebih dalam lagi, mereka dapat mengakses data pengetahuannya: struktur dasar dan pedoman yang menentukan cara model “berpikir”, dan berinteraksi dengan pengguna.
Di satu sisi, pengguna mungkin bersyukur memiliki pandangan yang jelas tentang cara ChatGPT beroperasi, termasuk cara ChatGPT menangani masalah keselamatan dan etika. Di sisi lain, wawasan ini berpotensi membantu pelaku kejahatan merekayasa balik pagar pembatas tersebut, dan merekayasa pesan jahat dengan lebih baik.
Yang lebih buruk lagi adalah dampaknya terhadap jutaan GPT khusus yang tersedia di toko ChatGPT saat ini. Pengguna telah merancang model ChatGPT khusus dengan fokus pada pemrograman, keamanan, penelitian, dan banyak lagi, dan instruksi serta data yang memberi mereka cita rasa khusus dapat diakses oleh siapa saja yang memberi mereka petunjuk yang tepat.
“Orang-orang telah memasukkan data dan informasi yang aman dari organisasi mereka ke dalam GPT ini, karena mengira bahwa data dan informasi tersebut tidak tersedia untuk semua orang. Saya pikir ini adalah sebuah masalah, karena tidak jelas secara eksplisit apakah data Anda berpotensi dapat diakses,” kata Figueroa.
Dalam email ke Dark Reading, perwakilan OpenAI menunjuk ke dokumentasi GPT Builder, yang memperingatkan pengembang tentang risikonya: “Jangan sertakan informasi Anda tidak ingin pengguna mengetahuinya” bunyinya, dan menandai antarmuka penggunanya, yang memperingatkan, “jika Anda mengunggah file di bawah Pengetahuan, percakapan dengan GPT Anda mungkin menyertakan konten file. File dapat diunduh ketika Code Interpreter diaktifkan.”
