El buscador de ChatGPT puede ser manipulado. La clave está en el contenido oculto de las webs

La semana pasada, OpenAI amplió el entrada a su función de búsqueda web a todos los usuarios de ChatGPT (no sólo a los de plazo), integrándolo adicionalmente con su modo de búsqueda por voz. Y como siempre, conexo a la popularidad llegan (o, más correctamente, se desvelan) asimismo los fallos de seguridad.

Una investigación flamante del diario inglés 'The Guardian' ha sacado a relucir la relevancia que tiene para los usuarios de este servicio de búsquedas un aberración conocido como 'prompt injection'. ¿Qué significa esto?

¿Qué es el 'prompt injection'?

El prompt injection (inyección de prompts) describe la capacidad de un sitio web o entidad externa para introducir instrucciones ('prompts') no visibles por parte del afortunado (pero igualmente presentes en la página web), que ChatGPT interpreta y ejecuta sin que este se dé cuenta. La consecuencia es que ChatGPT puede desviarse de la petición innovador y replicar siguiendo lo que dicta el contenido oculto.

Imaginemos, por ejemplo, una página que recopila reseñas mayoritariamente negativas sobre un restaurante. Si en ese sitio hay secciones ocultas de texto instando a ChatGPT a describir dicho restaurante como 'maravilloso' o invitándolo a que anime a pasarse el particular, el maniquí podría terminar proporcionando respuestas muy positivas, contrarias a la información positivo de la página.

El prueba de The Guardian

Según desvela la investigación de The Guardian, la prueba se realizó usando una web diseñada para disimular un portal permitido de reseñas de cámaras. Cuando ChatGPT resumía el contenido del sitio sin que se introdujeran indicaciones ocultas, la respuesta del chatbot ofrecía una evaluación equilibrada: resaltaba las ventajas del producto, pero asimismo señalaba algunos puntos débiles que podrían no degustar a ciertos usuarios.

Sin requisa, luego en el mismo sitio se introdujeron bloques de texto invisibles que ordenaban a ChatGPT redactar una reseña abiertamente inclinado. Así, pese a que en la página había reseñas negativas, la respuesta que se proporcionaba al afortunado se convertía en una totalmente positiva.

Resumiendo: el contenido oculto logró anular la evaluación imparcial de ChatGPT, dejándolo pusilánime a engaños o manipulaciones que pueden distorsionar la información que ofrece a los usuarios.

Circunstancias de ataques hipotéticos

Los llamados 'ataques de inyección de prompts' no son poco nuevo cuando hablamos de IA: desde los primeros pasos de ChatGPT (y, luego, de otras herramientas similares), los expertos han señalado la posibilidad de este tipo de vulnerabilidades. Hasta la término, la mayoría de los ejemplos de ataques de 'prompt injection' se han restringido a casos curiosos diseñados por expertos, sin que se hayan traducido luego en ataques malintencionados a gran escalera.

Sin requisa, este caso ejemplifica un peligro potencial: si un sitio web bellaco se aprovecha de la capacidad de ChatGPT para analizar contenidos, puede redirigir su respuesta sin que el afortunado sea consciente de ello.

Ahora, la compañía deberá animar sus mecanismos de filtrado y detección de contenido manipulado, a fin de evitar que estos 'prompts ocultos' se cuelen en las consultas de los usuarios.

¿Es esto un problema exclusivo de los buscadores basados en chatbots?

Bueno, que una búsqueda se vea alterada por la inyección de prompts es, necesariamente, un problema restringido a plataformas basadas en IA, sí... pero si de lo que estamos hablando es de que los resultados de una búsqueda puedan manipularse recurriendo a contenido oculto en una web, entonces no: este ha sido un problema que siempre ha afectado a los buscadores 'tradicionales'.

Estas técnicas forman parte de lo que se conoce como 'Black Hat SEO', prácticas que manipulan los algoritmos de búsqueda para mejorar el posicionamiento de una determinada web (aunque es cierto que, a estas staff, la mayoría de los buscadores están ya más o menos protegidos delante la mayoría de ellas):

1. Uso de texto y enlaces ocultos: Se añadían palabras esencia en el fondo de la página con el mismo color que el fondo (p. ej., texto blanco sobre fondo blanco) o se reducían al insignificante con CSS para que no fuesen visibles para el afortunado, pero sí rastreadas por los motores de búsqueda.
2. 'Keyword stuffing' (relleno de palabras esencia): Consistía en repetir palabras esencia de forma excesiva y antinatural en el contenido de la página, con la intención de “inflar” su relevancia a luceros de los algoritmos de búsqueda.
3. 'Cloaking': Se mostraba un contenido al afortunado y otro diferente a los bots de los motores de búsqueda. De este modo, la traducción para Google u otros buscadores contenía abundantes palabras esencia y enlaces diseñados para posicionar mejor, mientras que al visitante humano se le presentaba un contenido más 'ordinario'.
4. 'Doorway pages': Similar al susodicho, eran páginas creadas exclusivamente para posicionarse en buscadores (normalmente con spam de palabras esencia) y que, al hacer clic, redirigían rápidamente al afortunado a otra web.

Imagen | Marcos Merino mediante IA

En Xataka | Una filtración sobre Google Search supuestamente revela muchos de los secretos de su algoritmo. Eso es oro para el mundo SEO