ИБ-исследователи из компании LayerX обнаружили уязвимость в недавно вышедшем браузере ChatGPT Atlas компании OpenAI. Проблема позволяет злоумышленникам внедрять вредоносные инструкции в память ИИ-ассистента и выполнять произвольный код.

В основе атаки лежит CSRF-уязвимость, которую можно использовать для внедрения вредоносных инструкций в постоянную память ChatGPT. Скомпрометированная память будет доступна на всех устройствах и сессиях, что позволит атакующему совершать различные действия (включая захват аккаунта пользователя, браузера и так далее), когда авторизованный пользователь попытается использовать ChatGPT в обычных целях.

OpenAI представила эту функцию постоянной памяти в феврале 2024 года, чтобы чат-бот мог сохранять информацию о предпочтениях пользователя между диалогами, что должно делать ответы ChatGPT более персонализированными и релевантными.

«Связав CSRF с записью в память, атакующий может незаметно внедрять инструкции, которые сохраняются на всех устройствах, сессиях и даже в разных браузерах, — говорят эксперты. — В наших тестах после заражения памяти ChatGPT обычные запросы приводили к загрузке кода, повышению привилегий и краже данных, не вызывая срабатывания каких-либо защитных механизмов».

Атака работает следующим образом:

  • пользователь авторизуется в ChatGPT;
  • жертву обманом вынуждают перейти по вредоносной ссылке, например, с помощью социальной инженерии;
  • вредоносная веб-страница использует CSRF-запрос, эксплуатируя факт уже пройденной пользователем аутентификации, и незаметно внедряет скрытые инструкции в память ChatGPT;
  • когда пользователь обращается к ChatGPT с легитимным запросом, зараженная память активируется, что ведет, например, к выполнению кода.

Иными словами, если ChatGPT интерпретирует вредоносные инструкции как часть своей памяти или списка задач, он выполняет действия, которые пользователь не запрашивал: открывает аккаунты, выполняет команды, получает доступ к файлам и так далее. Вредоносные инструкции остаются активными до тех пор, пока пользователь не зайдет в настройки и не удалит их вручную.

LayerX уже уведомила об уязвимости представителей OpenAI, однако патча еще нет, и исследователи не раскрывают технические детали, чтобы предотвратить возможную эксплуатацию проблемы.

Специалисты рекомендуют пользователям ChatGPT Atlas ограничить использование браузера, избегать работы с почтой, финансами и другими приватными данными, а также избегать перехода по незнакомым ссылкам и регулярно проверять, какие действия совершает ИИ-агент.

Стоит отметить, что в настоящее время браузер ChatGPT Atlas доступен только в версии для macOS. Версии для Windows и Android должны появиться в скором будущем, но точных дат в OpenAI пока не называют.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии