Tout le monde est maintenant confronté à l'IA, que vous le vouliez ou non.
Même dans la recherche, les chercheurs ont compris que la revue de leur publication par les pairs était souvent automatisée / générée par ChatGPT.
Alors, des chercheurs ont commencé par cacher des messages pour les LLM pour influencer leur jugement, et c'est notre première actualité de la semaine car elle pourrait aussi vous servir si vous êtes étudiants.
Mais ce n'est pas tout. Sans le savoir, la personne avec qui vous parler pourrait scréner votre conversation pour l'envoyer à une IA pour générer la meilleure réponse adaptée et votre conversation pourrait alors leaker comme c'est arrivé cette semaine. Mais on va aussi parler de nazisme et d'extension malveillante dans ce récap de l'actualité.
LLM & Recherche
J'ai un scoop pour vous, les étudiants utilisent l'IA mais aussi en réalité les profs, les chercheurs et les correcteurs aussi !
Et oui, aujourd'hui, que vous utilisiez ou non l'IA, il y a de grandes chances que ce que vous produisez sera confronté à l'IA à un moment ou un autre.
Entre les profs utilisant ChatGPT pour résumer ou noter votre mémoire ou vos devoirs ou encore les chercheurs s'en servant pour faire la review des papiers des autres chercheurs, votre texte passera forcément à la moulinette de l'IA que vous le vouliez ou non, avec ou sans votre accord.
Et du coup, des chercheurs l'ont bien compris et ont commencé à cacher des prompts, écrits blanc sur blanc, pour influencer la review des LLM et je vous mets d'ailleurs la requête en commentaire pour directement tomber sur des papiers utilisant cette technique, appelée hidden prompt injection.
Si on avait déjà vu cette technique être utilisée par les profs pour détecter lorsque les étudiants envoyaient directement le sujet à un LLM pour générer leur rendu, si vous êtes étudiants, vous pouvez vous aussi le faire et inverser la tendance, en ajoutant un prompt caché pour influencer hypothétiquement votre note si votre prof utilise ChatGPT par exemple. ([1])
Super Leak
160 000 captures d’écran de conversation sont disponibles dans la nature, et le pire dans tout cela, c'est que cela concerne surtout des adolescents !
Aujourd'hui, il existe tout, mais vraiment tout comme IA, dont cette application FlirtAI permettant d'uploader une capture d'écran d'une conversation pour obtenir la meilleure réponse possible selon l'IA.
Évidemment, l'application est surtout utilisée par des adolescents et un bucket S3 avec plus de 160 000 photos a donc leaké en ligne, diffusant avec des centaines de conversations plus ou moins privées, au vu du nom de l'application.
Bonus dans tout cela, les personnes concernées ne sont probablement même pas au courant que leur discussion a leaké, car lorsque vous scréenez une conversation, ce sont les informations de la personne en face qui sont affichées, pas les votre, et il est peu probable, bien que l'application 'obligeait' les utilisateurs à le faire, que tous ces adolescents ont prévenu la personne destinataire de leur message qu'ils utilisaient cette application.
Alors évidemment, faites très très attention aux outils et aux applications que vous utilisez et à qui vous partager vos informations, mais aussi et surtout les informations qui ne sont pas les votres ! ([2])
Tiktok Nazi
Vous entendez cette musique (NDR: checkez la vidéo), hit légendaire et incontournable, ultra populaire sur TikTok qui serait en réalité utilisée pour promouvoir le nazisme sur la plateforme !
Alors si en 2024, la chanson avait déjà eu son petit lot de polémiques notamment à cause de militants d’extrême droite reprenant la musique avec d'autres paroles, moi je ne parle pas politique mais de cyber et justement cette actu est un super exemple de ce que j'avais pu raconter dans une de nos précédentes vidéos : la censure, c'est compliqué si l'on a des utilisateurs un peu futés.
Car en plus de cette reprise, il y aurait aussi une trend avec une musique, générée par l'IA dont son nom s’affiche en ce moment que je ne risquerais pas de prononcer au vu de mon niveau d'allemand dont le dernier mot est un mot fictif complètement inventé mais pourquoi ?
Eh bien tout simplement car la modération de TikTok repose en très grande partie sur deux choses : des mots clés et le signalement des utilisateurs.
En utilisant un mot inventé et inconnu du grand public, les algorithmes de censure et les utilisateurs lambda ne peuvent tout simplement pas reconnaître les messages cachés derrière les TikToks, tout comme le sont les petits cœurs bleus en Allemagne, signe caché du parti d’extrême droite par exemple.
Si l'on prend la facilité aussi avec laquelle il est possible de dupliquer et de créer ses propres audios customisés, voilà encore un bon exemple de comment les utilisateurs peuvent facilement contourner la censure de ces plateformes. ([3], [4])
Extension malveillante
Tout le monde peut changer du jour au lendemain, même les extensions de votre navigateur ou sur VS Code, oui oui, cela vous concerne aussi les devs !
Car cette semaine, du côté des extensions, c'est un color picker qui est devenu méchant du jour au lendemain, alors que l'extension était depuis des années réputée comme fiable et même recommandée par Chrome eux-mêmes dans le webstore !
La fourberie de ce revirement tient aussi dans le fait que l'extension n'a pas changé en apparence et continue à fonctionner correctement, à la différence qu'il s'agit en plus maintenant d'un serveur de command & control volant aussi la session des utilisateurs.
Et amis développeurs, ne vous sentez pas plus intelligents ou plus à l’abri car du côté des extensions VSCode, c'est l'extension ETHCode qui a elle accepté une PR d'un dev random injectant une librairie malveillante et téléchargeant un malware, touchant plus de 6000 développeurs dans le monde.
Malheureusement, en réalité, dans ces situations, il n'y a pas grand-chose possible à faire car dans ces cas-là, les extensions étaient à la base de confiance, leur seul défaut résider peut-être uniquement dans leur autorisation, trop importantes les rendant très dangereuses le jour où elles changent de camp. ([5], [6])
Toute l'actualité en cybersécurité, développement (WEB, Cloud) et tech sur notre chaine youtube ou en nous contactant pour réaliser une formation en présentiel dans votre entreprise !
