Zranitelnost v ChatGPT Atlas: Útočníci mohou podstrčit skryté příkazy do paměti AI

Nový typ útoku umožňuje perzistentní manipulaci s AI pomocí CSRF a nechráněné paměti.

Bezpečnostní experti ze společnosti LayerX Security odhalili závažnou zranitelnost v prohlížeči ChatGPT Atlas, která umožňuje útočníkům zneužít perzistentní paměť AI asistenta k injekci skrytých instrukcí. Útok využívá kombinaci CSRF (cross-site request forgery) a nedostatečné ochrany přístupu do paměti ChatGPT, čímž útočník získává trvalý vliv na budoucí chování modelu – napříč zařízeními i sezeními.

Jak útok funguje?

– Uživatel se přihlásí do ChatGPT Atlas.

– Je pomocí sociálního inženýrství přesměrován na škodlivý odkaz.

– Web stránka skrytě odešle CSRF požadavek, který využije aktuální přihlášení a zapíše škodlivé instrukce do AI paměti.

– Při následném použití ChatGPT může být bez vědomí uživatele spuštěn kód, dojde k eskalaci oprávnění nebo k exfiltraci dat.

Tato paměť, představená v únoru 2024, má zlepšovat personalizaci odpovědí. Zranitelnost ale umožňuje tuto funkci zneužít a přeměnit ji na neviditelný kanál pro perzistentní malware či manipulaci.

Podle společnosti LayerX nejde o útok na klasickou relaci v prohlížeči, ale o zápis do perzistentní paměti AI agenta, která přetrvává i mezi zařízeními a prohlížeči – oběť tak nese infikovanou AI sebou napříč digitálním prostorem.

To znamená, že i běžné dotazy ChatGPT mohou vyvolat skryté operace, aniž by uživatel cokoliv podezřelého zaznamenal. LayerX hovoří o novém typu „supply chain“ hrozby – tentokrát na úrovni AI paměti.

Testy prokázaly, že ChatGPT Atlas detekoval pouze 5,8 % škodlivých webových stránek, což je výrazně méně než klasické prohlížeče (Edge 53 %, Chrome 47 %). Nízká míra ochrany proti phishingu, manipulacím a injekčním útokům dělá z AI prohlížečů jako Atlas nebo Perplexity Comet vysoké bezpečnostní riziko.

Útočníci mohou injektovat škodlivý kód do AI výstupů bez vědomí vývojářů (např. při generování kódu), využít zranitelnost ke krádeži přístupových údajů, API klíčů, datových tokenů, eskalovat oprávnění a získat kontrolu nad účtem či prohlížečem uživatele nebo provádět postranní útoky – např. manipulace s AI agentem, který následně ovlivní další systémy ve firemní síti.

„Tainted Memories“ ukazuje, že integrace paměťových schopností do AI nástrojů bez robustního zabezpečení vytváří nový typ perzistentní hrozby. AI asistenti se stávají součástí digitálního supply chainu – a mohou se sami stát vektorem útoku, pokud nejsou správně chráněni.

Zdroje: LayerX Security, thehackernews.com

Zdroj ilustračního obrázku: BoliviaInteligente on Unsplash