Исследователи безопасности ранее неоднократно обнаруживали серьёзные уязвимости в инструментах искусственного интеллекта. Недавно была замечена уязвимость в Google Gemini, которая, вероятно, никогда не будет устранена. Исследователи безопасности Моше Бернштейн и Лив Матан, работающие в компании Tenable, обнаружили дефекты в ChatGPT от OpenAI. Эти уязвимости могут поставить под угрозу пользователей и их данные.
 Серьёзность этого открытия заключается в том, что это не просто одна уязвимость безопасности. Исследователи обнаружили семь способов обмана (то есть обхода встроенных ограничений) таких моделей, как GPT-40 и GPT-5. Все эти методы основаны на внедрении вредоносных инструкций в ChatGPT без задействования средств безопасности ИИ.

Один из методов, по словам исследователей безопасности, — это так называемое косвенное внедрение подсказок через доверенные веб-сайты. Хакеры могут оставлять вредоносные инструкции в разделе комментариев на сайте, который фактически находится в белом списке ChatGPT. Когда ИИ получает запрос на краткое изложение содержания страницы, он выполняет вредоносные команды. Другой метод, также использующий доверенные сайты, такие как Bing, заключается в создании укороченных ссылок отслеживания на вредоносные сайты, что позволяет обойти ограничения безопасности ChatGPT.

Третий метод использует ошибку в разметке ChatGPT Markdown. По словам исследователей безопасности, инструкции, следующие за начальными символами блока кода, не отображаются, если они находятся на той же строке. Именно там могут размещаться вредоносные инструкции для ИИ, которые, таким образом, остаются скрытыми от пользователей. Более того, исследователи показали, что с помощью таких атак можно «изменить» функцию памяти ChatGPT. Вредоносные инструкции могут быть усвоены ИИ, что приведет к раскрытию всех будущих разговоров с пользователями.

Исследователи безопасности направили свои выводы в OpenAI. Компания, занимающаяся разработкой искусственного интеллекта, отреагировала на ряд проблем и уже представила решения. Например, теперь невозможно скрыть вредоносные запросы в URL-адресе за параметром «?q=». Раньше пользователям достаточно было нажать на ссылку, чтобы выполнить вредоносный запрос в ChatGPT. Существуют внутренние решения для других проблем, таких как непрямое внедрение запросов через доверенные веб-сайты, но они пока не внедрены. Неизвестно, когда это произойдет и будут ли решены оставшиеся проблемы.