Investigadores de ciberseguridad han descubierto una nueva vulnerabilidad en el navegador web ChatGPT Atlas de OpenAI. Esta vulnerabilidad podría permitir que un atacante malintencionado inyecte instrucciones maliciosas en la memoria de un asistente impulsado por inteligencia artificial (IA) y potencialmente ejecute código arbitrario.
«Este exploit podría permitir a un atacante infectar un sistema con código malicioso, otorgarse acceso o implementar malware», dijo Or Eshed, cofundador y director ejecutivo de LayerX Security, en un informe compartido con The Hacker News.
El núcleo de este ataque explota una falla de falsificación de solicitudes entre sitios (CSRF) que potencialmente puede inyectar instrucciones maliciosas en la memoria persistente de ChatGPT. La memoria corrupta puede persistir en todos los dispositivos y sesiones, lo que permite a un atacante realizar diversas acciones cuando un usuario que ha iniciado sesión intenta utilizar ChatGPT con fines legítimos, incluida la toma del control de la cuenta, el navegador y los sistemas conectados del usuario.
Introducido por primera vez por OpenAI en febrero de 2024, Memory está diseñado para ayudar a los chatbots de IA a recordar detalles útiles entre chats, haciendo que sus respuestas sean más personalizadas y relevantes. Esto incluye todo, desde su nombre y color favorito hasta sus intereses y preferencias dietéticas.
Este ataque plantea un riesgo de seguridad importante porque, al contaminar la memoria, las instrucciones maliciosas pueden persistir a menos que el usuario acceda explícitamente a la configuración y las elimine. Hacerlo convierte una característica útil en un arma poderosa que un atacante puede usar para ejecutar el código que proporciona.
«Lo que hace que este exploit sea especialmente peligroso es que apunta no sólo a la sesión del navegador, sino también a la memoria persistente de la IA», dijo Michelle Levy, jefa de investigación de seguridad de LayerX Security. «Al encadenar CSRF estándar a escrituras en memoria, un atacante puede plantar de manera invisible instrucciones que persisten en dispositivos, sesiones e incluso en diferentes navegadores».
«En nuestras pruebas, una vez que la memoria de ChatGPT estaba contaminada, los mensajes «normales» posteriores podían provocar la recuperación de código, una escalada de privilegios o la filtración de datos sin activar ninguna protección significativa».
El ataque se desarrolla de la siguiente manera:
El usuario inicia sesión en ChatGPT. Se engaña al usuario para que inicie un enlace malicioso mediante ingeniería social. La página web maliciosa aprovecha el hecho de que el usuario ya está autenticado para activar una solicitud CSRF y, sin saberlo, inyecta instrucciones ocultas en la memoria de ChatGPT. Cuando un usuario consulta ChatGPT con un propósito legítimo, se llama a la memoria contaminada y se ejecuta el código.
Se ocultan detalles técnicos adicionales para un ataque exitoso. LayerX dijo que la falta de fuertes controles anti-phishing de ChatGPT Atlas exacerba el problema, y agregó que los usuarios están expuestos a hasta un 90% más de riesgos que los navegadores tradicionales como Google Chrome y Microsoft Edge.
En pruebas contra más de 100 vulnerabilidades web y ataques de phishing del mundo real, Edge pudo detener el 53% de ellos, seguido de Google Chrome con el 47% y Dia con el 46%. Por el contrario, Comet y ChatGPT Atlas de Perplexit detuvieron sólo el 7% y el 5,8% de las páginas web maliciosas.
Esto abre la puerta a una amplia gama de escenarios de ataque, como cuando un desarrollador le pide a ChatGPT que escriba código y el agente de IA introduce instrucciones ocultas como parte del esfuerzo de codificación de Vibe.
Este desarrollo se produce después de que NeuralTrust demostrara un ataque de inyección rápida que afectó a ChatGPT Atlas. ChatGPT Atlas le permite hacer jailbreak a Omnibox disfrazando mensajes maliciosos como URL aparentemente benignas. También sigue a informes de que los agentes de IA se han convertido en el vector de filtración de datos más común en entornos empresariales.
«AI Browser unifica aplicaciones, identidad e inteligencia en una única superficie de amenazas de IA», dijo Eshed. «Las vulnerabilidades como Tainted Memories son la nueva cadena de suministro. Viajan con los usuarios, contaminan el trabajo futuro y desdibujan la línea entre la automatización útil de la IA y el control encubierto».
«A medida que el navegador se convierte en la interfaz común para la IA y los nuevos agentes navegadores incorporan la IA directamente a la experiencia de navegación, las empresas deben tratar el navegador como una infraestructura crítica porque es la próxima frontera para la productividad y el trabajo de la IA».
Source link
