ChatGPT n’est pas encore assez intelligent pour trouver ses propres failles, c’est pourquoi son créateur se tourne vers les humains pour obtenir de l’aide. Le laboratoire de recherche en intelligence artificielle (IA) de premier plan, OpenAI, a annoncé aujourd’hui le lancement d’un programme de Bug Bounty afin d’aider à faire face aux risques croissants de cybersécurité posés par des modèles de langage puissants tels que son propre ChatGPT.
Le programme, géré en partenariat avec la société de cybersécurité Bugcrowd, invite les chercheurs indépendants à signaler les vulnérabilités des systèmes d’OpenAI en échange de récompenses financières allant de 200 à 20 000 dollars en fonction de leur gravité.
L’entreprise soutenue par Microsoft a déclaré que son ambition était de créer des systèmes d’IA qui « profitent à tout le monde », ajoutant : « À cette fin, nous investissons beaucoup dans la recherche et le développement : “À cette fin, nous investissons massivement dans la recherche et l’ingénierie afin de garantir que nos systèmes d’IA sont sûrs et sécurisés. Toutefois, comme pour toute technologie complexe, nous sommes conscients que des vulnérabilités et des failles peuvent apparaître”. OpenAI a déclaré reconnaître “l’importance critique de la sécurité et la considérer comme un effort de collaboration. En partageant vos découvertes, vous jouerez un rôle crucial pour rendre notre technologie plus sûre pour tout le monde”.
Au cours des derniers mois, les vulnérabilités des systèmes d’IA capables de générer des textes synthétiques, des images et d’autres médias ont suscité de plus en plus d’inquiétudes. Selon la société de cybersécurité DarkTrace, les chercheurs ont constaté une augmentation de 135 % des attaques d’ingénierie sociale basées sur l’IA entre janvier et février, ce qui coïncide avec l’adoption de ChatGPT.
Si l’annonce de l’OpenAI a été accueillie favorablement par certains experts, d’autres ont déclaré qu’un programme de Bug Bounty n’est pas susceptible de répondre pleinement au large éventail de risques de cybersécurité posés par des technologies d’IA de plus en plus sophistiquées. La portée du programme est limitée aux vulnérabilités qui pourraient avoir un impact direct sur les systèmes et les partenaires d’OpenAI. Il ne semble pas répondre aux préoccupations plus larges concernant l’utilisation malveillante de ces technologies, telles que l’usurpation d’identité, les médias synthétiques ou les outils de piratage automatisés.
Un programme de Bug Bounty de portée limitée
Le programme de Bug Bounty intervient dans un contexte marqué par une série de problèmes de sécurité, avec l’apparition de jailbreaks de GPT4 qui permettent aux utilisateurs de développer des instructions sur la manière de pirater des ordinateurs et la découverte par des chercheurs de solutions permettant à des utilisateurs “non techniques” de créer des logiciels malveillants et des e-mails d’hameçonnage.
Elle intervient également après qu’un chercheur en sécurité connu sous le nom de Rez0 a prétendument utilisé un exploit pour pirater l’API de ChatGPT et découvrir plus de 80 plugins secrets.
This morning I was hacking the new ChatGPT API and found something super interesting: there are over 80 secret plugins that can be revealed by removing a specific parameter from an API call.
The secret plugins include a ‘DAN plugin’, ‘Crypto Prices Plugin’, and many more. pic.twitter.com/Q6JO1VLz5x
— 𝚛𝚎𝚣𝟶 (@rez0__) March 24, 2023
Étant donné ces controverses, le lancement d’une plateforme de recherche de bugs offre à OpenAI l’occasion de remédier aux vulnérabilités de son écosystème de produits, tout en se positionnant comme une organisation agissant de bonne foi pour faire face aux risques de sécurité introduits par l’IA générative.
Malheureusement, le programme de Bug Bounty d’OpenAI est très limité dans la portée des menaces qu’il aborde. Il peut être utile pour aider l’organisation à améliorer sa propre posture de sécurité, mais il ne fait pas grand-chose pour traiter les risques de sécurité introduits par l’IA générative et la GPT-4 pour la société dans son ensemble.
