AI を活用したチャットボットは多くのユーザーにとって不可欠なツールとなっており、 ChatGPTやCopilotなどのモデルに個人的なクエリや機密性の高いクエリを尋ねることさえあり、エンドツーエンドで暗号化されているため、会話を誰も読むことができないと考えています。しかし、調査によると、これらのチャットは見かけほど安全ではなく、ハッカーは非常に高い精度でこれらのチャットにアクセスすることさえできることがわかっています。
Offensive AI Lab が発見したように、ハッカーはサイドチャネル攻撃を通じてこれらの会話を読み取ることができます。これは、システムの物理的な実装による情報の収集で構成されます。これには、エネルギー消費量、データの処理に必要なモデルの時間などのデータが含まれます。特定の期間中に発生する電磁放射も同様です。この情報は専用の AI によって処理され、平均して、ChatGPT または Copilot から取得した応答の 55% から会話を解読できます。 29% の確率で、答えは完全な単語の正確さで明らかになります。
これは、ChatGPT のような言語モデルが、サーバーからユーザーに送信される一連のトークンを通じて応答を生成および送信するためです。これらはエンドツーエンドで暗号化されますが、攻撃者はパケットのサイズのおかげでトークン長のサイド チャネルを使用し、このデータが明らかになります。
どうやら、エンドツーエンドで暗号化される ChatGPT や Copilot などの主要なチャットボットには、この欠点があるようです。 Offensive AI Labによると、ハッカーがサイドチャネル攻撃を通じて会話にアクセスできる可能性から救われるのはGoogleのAIであるGeminiだけだという。
ChatGPT、Copilot、その他の AI モデルにも同じ問題があります
この調査会社は、ハッカーが ChatGPT や Copilot などの AI のチャットを読み取ることを防ぐ方法があることを保証しています。これには、トークンのシーケンスを推論する能力を向上させるために、生の攻撃を実行することによってモデルをトレーニングすることが含まれます。
このアプローチは、最先端の LLM をトレーニングして、記号長のシーケンスを読み取り可能な文に変換することです。さらに、以前に推論された文のコンテキストを LLM に提供することにより、LLM は可能な文をさらに絞り込むことができ、段落全体の推論に伴うエントロピーを削減できます。
攻めのAI研究所
いずれにせよ、OpenAI (ChatGPT) や Microsoft (Copilot) (人工知能チャットボットを導入している企業の名前を挙げると) が解決策を提供しない限り、この発見はこれらのモデルを使用するユーザーにとって深刻なプライバシー問題を意味します。とりわけ、妊娠中絶や病気についての疑問など、個人的でデリケートな性質の質問をする傾向があることを考慮すると、
現時点でユーザーができることは、ChatGPT や Copilot などのチャットボットに個人情報を公開しないことだけです。実際、これらのモデルの多くは、初めてチャット ウィンドウを開いたときに同様の警告を表示します。
参考資料一覧
- https://cdn.arstechnica.net/wp-content/uploads/2024/03/LLM-Side-Channel.pdf