Investigadores de ciberseguridad han descubierto una nueva vulnerabilidad en el navegador web ChatGPT Atlas de OpenAI que podría permitir a actores maliciosos inyectar instrucciones nefastas en la memoria del asistente impulsado por inteligencia fabricado (IA) y ejecutar código subjetivo.
“Este exploit puede permitir a los atacantes infectar sistemas con código receloso, otorgarse privilegios de acercamiento o implementar malware”, dijo el cofundador y director ejecutor de LayerX Security, Or Eshed, en un crónica compartido con The Hacker News.
El ataque, en esencia, aprovecha una falta de falsificación de solicitudes entre sitios (CSRF) que podría explotarse para inyectar instrucciones maliciosas en la memoria persistente de ChatGPT. La memoria corrupta puede persistir en todos los dispositivos y sesiones, lo que permite a un atacante realizar diversas acciones, incluida la toma del control de la cuenta, el navegador o los sistemas conectados de un adjudicatario, cuando un adjudicatario que ha iniciado sesión intenta utilizar ChatGPT con fines legítimos.
La memoria, presentada por primera vez por OpenAI en febrero de 2024, está diseñada para permitir que el chatbot de IA recuerde detalles efectos entre chats, permitiendo así que sus respuestas sean más personalizadas y relevantes. Esto podría ser cualquier cosa, desde el nombre de un adjudicatario y su color preferido hasta sus intereses y preferencias dietéticas.
El ataque plantea un peligro de seguridad significativo porque, al contaminar los memorias, permite que las instrucciones maliciosas persistan a menos que los usuarios accedan explícitamente a la configuración y las eliminen. Al hacerlo, convierte una característica útil en un armas potente que puede estar de moda para ejecutar código proporcionado por el atacante.
“Lo que hace que este exploit sea especialmente peligroso es que apunta a la memoria persistente de la IA, no sólo a la sesión del navegador”, dijo Michelle Levy, jefa de investigación de seguridad de LayerX Security. “Al encadenar un CSRF estereotipado a una escritura en memoria, un atacante puede plantar de guisa invisible instrucciones que sobrevivan en dispositivos, sesiones e incluso en diferentes navegadores”.
“En nuestras pruebas, una vez que la memoria de ChatGPT se vio contaminada, las indicaciones ‘normales’ posteriores podrían desencadenar búsquedas de código, escaladas de privilegios o exfiltración de datos sin activar salvaguardas significativas”.
El ataque se desarrolla de la ulterior guisa:
- El adjudicatario inicia sesión en ChatGPT
- La ingeniería social engaña al adjudicatario para que inicie un enlace receloso
- La página web maliciosa activa una solicitud CSRF, aprovechando el hecho de que el adjudicatario ya está autenticado, para inyectar instrucciones ocultas en la memoria de ChatGPT sin su conocimiento.
- Cuando el adjudicatario consulta ChatGPT con un propósito permitido, se invocarán los memorias contaminados, lo que provocará la ejecución del código.
Se han ocultado detalles técnicos adicionales para aceptar a extremo el ataque. LayerX dijo que el problema se ve exacerbado por la desidia de controles anti-phishing sólidos de ChatGPT Atlas, dijo la compañía de seguridad del navegador, agregando que deja a los usuarios hasta un 90% más expuestos que los navegadores tradicionales como Google Chrome o Microsoft Edge.
En pruebas contra más de 100 vulnerabilidades web y ataques de phishing, Edge logró detener el 53% de ellos, seguido de Google Chrome con el 47% y Dia con el 46%. Por el contrario, Comet y ChatGPT Atlas de Perplexit detuvieron sólo el 7% y el 5,8% de las páginas web maliciosas.
Esto abre la puerta a un amplio espectro de escenarios de ataque, incluido uno en el que la solicitud de un desarrollador a ChatGPT para escribir código puede hacer que el agente de IA introduzca instrucciones ocultas como parte del esfuerzo de codificación de Vibe.
El ampliación se produce cuando NeuralTrust demostró un ataque de inyección rápida que afecta a ChatGPT Atlas, donde su omnibox puede ser libre disfrazando un mensaje receloso como una URL aparentemente inofensiva para inspeccionar. Además surge un crónica de que los agentes de IA se han convertido en el vector de filtración de datos más global en entornos empresariales.
“Los navegadores de IA están integrando aplicaciones, identidad e inteligencia en una única superficie de amenazas de IA”, dijo Eshed. “Las vulnerabilidades como ‘Tainted Memories’ son la nueva condena de suministro: viajan con el adjudicatario, contaminan el trabajo futuro y desdibujan la tangente entre la útil automatización de la IA y el control encubierto”.
“A medida que el navegador se convierte en la interfaz global para la IA y los nuevos navegadores agentes incorporan la IA directamente a la experiencia de navegación, las empresas deben tratar a los navegadores como infraestructura crítica, porque esa es la próxima frontera de la productividad y el trabajo de la IA”.
