Un investigador de ciberseguridad ha conseguido eludir las protecciones éticas del nuevo modelo de lenguaje o3-mini de OpenAI, apenas días después de su lanzamiento público, demostrando que incluso las más recientes salvaguardas de seguridad pueden ser vulnerables a técnicas sofisticadas de ingeniería social.
Un nuevo modelo con promesas de mayor seguridad
OpenAI presentó sus modelos o3 y o3-mini el 20 de diciembre de 2023, introduciendo una nueva característica de seguridad llamada "deliberative alignment". Esta función fue diseñada específicamente para lograr una "adherencia altamente precisa a las políticas de seguridad de OpenAI", según anunció la propia compañía.
La nueva característica de seguridad se basa en dos principios fundamentales: permitir que el modelo se tome tiempo para razonar paso a paso antes de responder, y enseñarle directamente las pautas de seguridad en lugar de solo mostrarle ejemplos de comportamientos correctos e incorrectos.
El descubrimiento de la vulnerabilidad
Eran Shimony, investigador principal de vulnerabilidades en CyberArk, logró que o3-mini le proporcionara instrucciones para escribir un exploit del Servicio de Subsistema de Autoridad de Seguridad Local (lsass.exe), un proceso crítico de seguridad de Windows. Lo consiguió haciéndose pasar por un historiador en busca de información educativa.
"Cuando vi esto recientemente, pensé que un jailbreak no iba a funcionar", explicó Shimony. "En Reddit, la gente no estaba logrando hacerlo. Pero eventualmente funcionó."
Diferentes modelos, diferentes debilidades
El investigador, que ha analizado la seguridad de varios modelos de lenguaje populares utilizando la herramienta de código abierto FuzzyAI, señala que cada uno tiene sus propias vulnerabilidades características:
- Los modelos de OpenAI son especialmente susceptibles a ataques de manipulación
- Llama, de Meta, es vulnerable a métodos que utilizan arte ASCII
- Claude es particularmente vulnerable en temas relacionados con código
Posibles soluciones
Shimony sugiere dos enfoques para mejorar la seguridad del modelo:
- Una solución más laboriosa que implica entrenar a o3 con más ejemplos de prompts maliciosos
- Una solución más sencilla que consiste en implementar clasificadores más robustos para identificar entradas maliciosas de usuarios
"La información que intentaba obtener era claramente dañina, por lo que incluso un clasificador ingenuo podría haberla detectado", señaló el investigador.
La respuesta de OpenAI
Un portavoz de OpenAI reconoció que Shimony podría haber realizado un jailbreak exitoso, aunque minimizó su impacto señalando que:
- El exploit obtenido era solo pseudocódigo
- No se trataba de información nueva o novedosa
- Información similar podría encontrarse mediante búsquedas en la web abierta
Este incidente subraya la continua batalla entre los desarrolladores de IA y aquellos que buscan eludir sus protecciones de seguridad, destacando la importancia de mantener y mejorar constantemente las salvaguardas éticas en los modelos de lenguaje.
