OpenAI semble faire la une des journaux tous les jours et cette fois-ci, c’est pour une double dose de problèmes de sécurité. Connu pour ses avancées de pointe en intelligence artificielle, OpenAI est désormais propulsé sous les projecteurs en raison non pas d’un mais deux failles de sécurité importantes.
Ces incidents ont soulevé des questions sur les protocoles de gestion des données et de cybersécurité de l’entreprise, ébranlant la confiance des utilisateurs et des experts du secteur.
ChatGPT pour Mac est plein de failles de sécurité
Le Application Mac pour ChatGPT a été un outil populaire pour les utilisateurs cherchant à tirer parti du puissant modèle de langage d’OpenAI, GPT-4odirectement depuis leur bureau. Cependant, cette semaine, une faille de sécurité a été révélée.
Pedro José Pereira Vieitoun développeur de Swift, a découvert que l’application stockait les conversations des utilisateurs en texte brut localement sur l’appareil. Cela signifie que toutes les informations sensibles partagées au cours de ces conversations n’étaient pas protégées, les rendant accessibles à d’autres applications ou à des logiciels malveillants potentiels.
macOS bloque l’accès à toutes les données privées des utilisateurs depuis macOS Mojave 10.14 (il y a 6 ans !). Toute application accédant aux données privées des utilisateurs (calendrier, contacts, messagerie, photos, sandbox d’applications tierces, etc.) nécessite désormais un accès utilisateur explicite.
— Pedro José Pereira Vieito (@pvieito) 2 juillet 2024
Les découvertes de Vieito ont été rapidement reprises par les médias d’information technologique Le bordamplifiant l’inquiétude des utilisateurs et incitant OpenAI à prendre des mesures rapides. La société a publié une mise à jour qui introduction du cryptage pour les conversations stockées localementrépondant au problème immédiat de sécurité.
L’absence de sandboxing, une pratique de sécurité qui isole les applications pour empêcher les vulnérabilités d’affecter d’autres parties du système, a encore compliqué le problème. Étant donné que l’application ChatGPT n’est pas disponible sur le App Store d’Appleil n’a pas besoin de se conformer aux exigences sandbox d’Apple.
Cette faille a permis à l’application de stocker des données de manière non sécurisée, exposant ainsi les utilisateurs à des risques potentiels.
La solution rapide d’OpenAI a atténué la menace immédiate, mais elle a également mis en évidence la nécessité de mesures de sécurité plus strictes dans le développement et le déploiement d’applications d’IA.
Le manuel d’un hacker
Le deuxième problème de sécurité auquel OpenAI est confronté est enraciné dans un incident survenu au printemps derniermais ses répercussions se font encore sentir aujourd’hui.
Au début de l’année dernière, un hacker a réussi à pirater les systèmes de messagerie internes d’OpenAIaccédant ainsi à des informations sensibles sur les opérations de l’entreprise et les technologies d’IA. un pirate informatique a récupéré des détails de discussions dans un forum en ligne où les employés parlaient des dernières technologies d’OpenAIselon deux personnes au courant de l’incident, mais n’ont pas pu pénétrer dans les systèmes où l’entreprise héberge et construit son IA.
Les dirigeants d’OpenAI ont révélé l’incident aux employés lors d’une réunion générale dans les bureaux de la société à San Francisco en avril 2023. Cependant, la décision a été prise de ne pas divulguer publiquement la violation car aucune information sur les clients ou les partenaires n’a été volée et les dirigeants ne l’ont pas considérée comme une menace pour la sécurité nationale. Ils pensaient que la Le pirate informatique était un particulier sans lien avec aucun gouvernement étrangerafin qu’ils n’a pas informé le FBI ni les forces de l’ordre.
Cette décision a suscité des inquiétudes internes quant à la posture de sécurité d’OpenAI. Certains employés craignaient que des adversaires étrangers, comme la Chine, pourraient potentiellement exploiter des vulnérabilités similaires pour voler une technologie d’IA qui pourrait éventuellement constituer une menace pour la sécurité nationale des États-Unis.
Léopold Aschenbrenner, un Responsable du programme technique OpenAIa fait valoir que l’entreprise ne prenait pas suffisamment de mesures pour prévenir de telles menacesIl a envoyé une note au conseil d’administration décrivant ses inquiétudes, mais a ensuite été licencié, une décision qui, selon lui, était motivée politiquement en raison de sa dénonciation.
Des inquiétudes murmurées
Le violation interne et traitement ultérieur de l’incident Les révélations d’OpenAI sur les pratiques de sécurité et la transparence ont mis en évidence des fractures plus profondes au sein d’OpenAI. Le licenciement d’Aschenbrenner, qui, selon lui, est le résultat de sa dénonciation, a suscité un débat sur l’engagement de l’entreprise en matière de sécurité et sur la manière dont elle gère les dissensions internes. Alors qu’OpenAI maintient que son licenciement n’était pas lié à sa dénonciation, la situation a mis en évidence les tensions au sein de l’entreprise.
Cette faille et ses conséquences ont également mis en évidence les risques géopolitiques potentiels associés aux technologies avancées d’IA. La crainte que des secrets d’IA puissent être volés par des adversaires étrangers comme la Chine n’est pas sans fondement. Des inquiétudes similaires ont été soulevées dans le secteur technologique, notamment par le président de Microsoft, Brad Smith, qui a témoigné au sujet de pirates informatiques chinois exploitant des systèmes technologiques pour attaquer des réseaux fédéraux.
Malgré ces inquiétudes, les lois fédérales et étatiques empêchent les entreprises comme OpenAI de pratiquer une discrimination fondée sur la nationalité. Les experts estiment que l’exclusion des talents étrangers pourrait entraver le développement de l’IA aux États-Unis. Matt Knight, responsable de la sécurité d’OpenAI, a souligné la nécessité d’équilibrer ces risques tout en tirant parti des meilleurs talents du monde entier pour faire progresser les technologies de l’IA.
Quel est le jeu de puissance d’OpenAI ?
En réponse à ces incidents, OpenAI a pris des mesures pour renforcer ses mesures de sécurité. La société a mis en place une Comité de sécurité et de sûreté pour évaluer et atténuer les risques associés aux technologies futures. Ce comité comprend des personnalités telles que Paul Nakasoneun ancien général de l’armée qui a dirigé la National Security Agency et le Cyber Command, et a été nommé au conseil d’administration d’OpenAI.
L’engagement d’OpenAI en matière de sécurité est également démontré par ses investissements continus dans la protection de ses technologies. Knight a souligné que ces efforts ont commencé des années avant l’introduction de ChatGPT et continuent d’évoluer à mesure que l’entreprise cherche à comprendre et à gérer les risques émergents. Malgré ces mesures proactives, les incidents récents ont montré que le chemin vers une sécurité robuste est en cours et nécessite une vigilance constante.
Crédit de l’image en vedette: Kim Menikh/Unsplash