Investigadores de ciberseguridad han descubierto una nueva vulnerabilidad en el navegador web ChatGPT Atlas de OpenAI que podría permitir a actores maliciosos inyectar instrucciones nefastas en la memoria del asistente impulsado por inteligencia sintético (IA) y ejecutar código caprichoso.
«Este exploit puede permitir a los atacantes infectar sistemas con código pillo, otorgarse privilegios de entrada o implementar malware», dijo el cofundador y director ejecutor de LayerX Security, Or Eshed, en un documentación compartido con The Hacker News.
El ataque, en esencia, aprovecha una defecto de falsificación de solicitudes entre sitios (CSRF) que podría explotarse para inyectar instrucciones maliciosas en la memoria persistente de ChatGPT. La memoria corrupta puede persistir en todos los dispositivos y sesiones, lo que permite a un atacante realizar diversas acciones, incluida la toma del control de la cuenta, el navegador o los sistemas conectados de un legatario, cuando un legatario que ha iniciado sesión intenta utilizar ChatGPT con fines legítimos.
La memoria, presentada por primera vez por OpenAI en febrero de 2024, está diseñada para permitir que el chatbot de IA recuerde detalles enseres entre chats, permitiendo así que sus respuestas sean más personalizadas y relevantes. Esto podría ser cualquier cosa, desde el nombre de un legatario y su color privilegiado hasta sus intereses y preferencias dietéticas.
El ataque plantea un aventura de seguridad significativo porque, al contaminar los expresiones, permite que las instrucciones maliciosas persistan a menos que los usuarios accedan explícitamente a la configuración y las eliminen. Al hacerlo, convierte una característica útil en un armamento potente que puede estar de moda para ejecutar código proporcionado por el atacante.
«Lo que hace que este exploit sea especialmente peligroso es que apunta a la memoria persistente de la IA, no sólo a la sesión del navegador», dijo Michelle Levy, jefa de investigación de seguridad de LayerX Security. «Al encadenar un CSRF habitual a una escritura en memoria, un atacante puede plantar de modo invisible instrucciones que sobrevivan en dispositivos, sesiones e incluso en diferentes navegadores».
«En nuestras pruebas, una vez que la memoria de ChatGPT se vio contaminada, las indicaciones ‘normales’ posteriores podrían desencadenar búsquedas de código, escaladas de privilegios o exfiltración de datos sin activar salvaguardas significativas».
El ataque se desarrolla de la ulterior modo:
- El legatario inicia sesión en ChatGPT
- La ingeniería social engaña al legatario para que inicie un enlace pillo
- La página web maliciosa activa una solicitud CSRF, aprovechando el hecho de que el legatario ya está autenticado, para inyectar instrucciones ocultas en la memoria de ChatGPT sin su conocimiento.
- Cuando el legatario consulta ChatGPT con un propósito auténtico, se invocarán los expresiones contaminados, lo que provocará la ejecución del código.
Se han ocultado detalles técnicos adicionales para sufrir a angla el ataque. LayerX dijo que el problema se ve exacerbado por la error de controles anti-phishing sólidos de ChatGPT Atlas, dijo la compañía de seguridad del navegador, agregando que deja a los usuarios hasta un 90% más expuestos que los navegadores tradicionales como Google Chrome o Microsoft Edge.
En pruebas contra más de 100 vulnerabilidades web y ataques de phishing, Edge logró detener el 53% de ellos, seguido de Google Chrome con el 47% y Dia con el 46%. Por el contrario, Comet y ChatGPT Atlas de Perplexit detuvieron sólo el 7% y el 5,8% de las páginas web maliciosas.
Esto abre la puerta a un amplio espectro de escenarios de ataque, incluido uno en el que la solicitud de un desarrollador a ChatGPT para escribir código puede hacer que el agente de IA introduzca instrucciones ocultas como parte del esfuerzo de codificación de Vibe.
El mejora se produce cuando NeuralTrust demostró un ataque de inyección rápida que afecta a ChatGPT Atlas, donde su omnibox puede ser descocado disfrazando un mensaje pillo como una URL aparentemente inofensiva para revistar. Igualmente surge un documentación de que los agentes de IA se han convertido en el vector de filtración de datos más popular en entornos empresariales.
«Los navegadores de IA están integrando aplicaciones, identidad e inteligencia en una única superficie de amenazas de IA», dijo Eshed. «Las vulnerabilidades como ‘Tainted Memories’ son la nueva cautiverio de suministro: viajan con el legatario, contaminan el trabajo futuro y desdibujan la orientación entre la útil automatización de la IA y el control encubierto».
«A medida que el navegador se convierte en la interfaz popular para la IA y los nuevos navegadores agentes incorporan la IA directamente a la experiencia de navegación, las empresas deben tratar a los navegadores como infraestructura crítica, porque esa es la próxima frontera de la productividad y el trabajo de la IA».
