Depuis le début de cette année, les développeurs ont la possibilité de créer des API sur OpenAI afin de proposer aux utilisateurs des fonctionnalités étendues basées sur ChatGPT. La démarche présente de nombreux avantages, mais les risques sont également réels.
Le risque des fonctionnalités cachées et malveillantes
Depuis peu, les développeurs peuvent monétiser leurs compétences en se basant sur les différents modèles conçus par OpenAI. Il est notamment possible de créer des chatbots personnalisés qui répondent à des demandes spécifiques.
Un consultant IT peut ainsi proposer à un site de prise de rendez-vous médical un programme spécifiquement axé sur la détection des termes médicaux. OpenAI et le builder se partagent ensuite les recettes générées par l’utilisation de ces bots.
Les spécialistes de la cybersécurité s’inquiètent des possibilités offertes aux développeurs. Les plus malveillants seront alors tentés d’implanter des réponses orientées qui aboutiraient au vol de données ou à l’implantation d’un code malicieux.
Pour l’expert Alaister Paterson qui est à la tête de l’entreprise américaine Harmonic Security, « la meilleure précaution est d’utiliser uniquement les API développés par des entités de confiance ».
Les précédents de Google, d’Apple et de Meta inquiètent
Face aux réserves émises par les utilisateurs et les experts, les dirigeants d’OpenAI et de ChatGPT rassurent en affirmant que « des mesures de sécurité drastiques à la fois automatiques et humaines sont mises en place pour garantir l’intégrité des chatbots proposés sur leur marketplace ».
Ces mêmes propos ont été tenus par les dirigeants d’Apple, de Google, de Meta… pour leur plateforme de distribution d’applications (App Store, Google Play…), mais des failles sont régulièrement rapportées par la presse spécialisée.
Tout récemment, OpenAI et Microsoft ont fait une annonce concernant l’usage détourné de ChatGPT opéré par des hackers d’État. Le groupe de pirates informatiques chinois Charcoal Typhoon crée ainsi des contenus potentiellement utilisables pour faire de l’hameçonnage.
Les Nord-Coréens regroupés au sein de l’Emerald Sleet tentent d’identifier les vulnérabilités des systèmes de défense du continent asiatique. Avec la démocratisation des API personnalisés, les risques vont se multiplier. La prudence est donc de mise avant tout déploiement au sein d’une entreprise ou d’un site web.