Le conclusioni frutto della ricerca su come estrarre dati da ChatGPT senza hackerarlo

Si tratta di uno studio di oltre 60 pagine dal titolo “Scalable Extraction of Training Data from (Production) Language Models” che, tra le altre ricerche, prova a comprendere le implicazioni per la privacy degli sviluppatori che si trovano ad utilizzare enormi data set prelevati da fonti di ogni tipo (e che spesso non sono chiare) per addestrare gli LLM (Large Language Model, come ChatGPT appunto). Lo studio ad opera della divisione di Google che si occupa di intelligenza artificiale conclude, portando una serie di esempi, che ChatGPT può essere portato a divulgare una serie di dati utilizzati per l’addestramento senza dover utilizzare tecniche di hacking ma agendo solo – in sostanza – sul funzionamento dell’algoritmo.

LEGGI ANCHE >>> Come hanno fatto a usare ChatGPT per estrarre dei dati senza hackerarlo

Non serve essere hacker per estrarre dati personali da ChatGPT

Questa, in parole povere, la conclusione del lungo studio. Tutto quello che serve saper fare – o che, almeno, serviva saper fare fino ad oggi – è saper interrogare il chatbot nel modo giusto, inserendo i prompt che lo portino a fornire una serie di dati con cui è stato addestrato e che, in teoria, non dovrebbe rivelare.

Dallo studio emergono le parole che hanno permesso, facendo vari tentativi, di estrapolare dati personali e dati sensibili anche di alcune aziende. La base della ricerca: occorre spingere il chatbot a ripetere una determinata parola infinite volte. A un certo punto, come provano anche le immagini pubblicate nello studio, il chatbot inizia a rivelare dati e informazioni relative a persone e aziende. Tutto sta, dunque, nel saper sollecitare nel modo corretto il sistema.

Tra le parole che hanno permesso di ottenere questo risultato, lo studio cita “poesia”, “inviare”, “fare”, “parte” e “azienda”. Citiamo un esempio pratico nello studio: chiedendo a ChatGPT di ripetere infinite volte la parola “poesia”, per diversi minuti il sistema ha compiuto l’azione richiesta ma – dopo un po’ – ha cominciato a generare una serie di output «spesso senza senso» – si legge nello studio – che comprendevano, tra le altre cose, dati di addestramento memorizzati tra cui figuravano firme, e-mail e informazioni di contatto personali di uno specifico individuo.

Tutti dati presenti in rete, ovviamente, ma che potrebbero essere molto più difficilmente rintracciabili e che – interrogando il chatbot nel modo giusto – potrebbero emergere ed essere sintetizzati senza problemi particolari. Si legge nello studio: «Utilizzando solo 200 dollari di query a ChatGPT (gpt-3.5-turbo), siamo in grado di estrarre oltre 10.000 esempi unici di addestramento memorizzati verbatim. La nostra estrapolazione a budget più ampi suggerisce che avversari dedicati potrebbero estrarre molti più dati», un numero fino a dieci volte superiore rispetto a quanto fatto dagli studiosi.

Le conclusioni della ricerca

Questa ricerca si aggiunge ad altre che, in precedenza, hanno puntato a dimostrare come gli LLM – tra i quali il più sofisticato e avanzato, almeno per ora, è ChatGPT – spesso memorizzano inavvertitamente modelli e frasi dei loro dataset di addestramento. Tutti dati che, se interrogati nel modo corretto, vanno poi a restituire nell’output dopo aver ricevuto il giusto input. Con questo studio si dimostra come procedere in questo modo possa spingere il sofisticato sistema di ChatGPT a rivelare dati che dovrebbero rimanere segreti.

I ricercatori specificano come questo documento punta ad «avvertire i professionisti che non dovrebbero addestrare e distribuire LLM per applicazioni sensibili alla privacy senza estreme salvaguardie». Nella parte dedicata alle conclusioni gli avvertimenti dei ricercatori, quindi, sono per altri ricercatori, per i professionisti che utilizzano ChatGPT (soprattutto in termini di privacy relativo ai dati usati per addestrarlo). «Speriamo – si chiudono così le conclusioni – che i nostri risultati servano da ammonimento per coloro che addestrano e distribuiscono modelli futuri su qualsiasi set di dati, siano essi privati, proprietari o pubblici e speriamo che il lavoro futuro possa migliorare la frontiera dell’impiego responsabile dei modelli».