Odborníci na kybernetickú bezpečnosť objavili novú zraniteľnosť vo webovom prehliadači ChatGPT Atlas od OpenAI, ktorá by mohla umožniť škodlivým aktérom vkladať nebezpečné inštrukcie do pamäte asistenta s umelou inteligenciou (AI) a spúšťať ľubovoľný kód.
„Tento exploit môže útočníkom umožniť infikovať systémy škodlivým kódom, udeliť si prístupové oprávnenia alebo nasadiť malvér,“ uviedol Or Eshed, spoluzakladateľ a generálny riaditeľ spoločnosti LayerX Security, v správe zdieľanej s portálom The Hacker News.
Podstata útoku spočíva vo využití zraniteľnosti typu cross-site request forgery (CSRF), ktorá sa dá zneužiť na vloženie škodlivých inštrukcií do trvalej pamäte ChatGPT. Takto poškodená pamäť môže pretrvávať naprieč zariadeniami a reláciami, čo útočníkovi umožňuje vykonávať rôzne akcie – vrátane prevzatia kontroly nad účtom používateľa, prehliadačom alebo pripojenými systémami – keď sa prihlásený používateľ pokúsi použiť ChatGPT na legitímne účely.
Pamäť, ktorú OpenAI prvýkrát predstavilo vo februári 2024, bola navrhnutá tak, aby umožnila chatbotu pamätať si užitočné detaily medzi rozhovormi, čím sa jeho odpovede stávajú osobnejšími a relevantnejšími. Môže ísť o čokoľvek – od mena používateľa a obľúbenej farby až po jeho záujmy či stravovacie preferencie.
Útok predstavuje významné bezpečnostné riziko, pretože poškodením pamäte umožňuje, aby škodlivé inštrukcie pretrvávali, pokiaľ ich používateľ manuálne neodstráni v nastaveniach. Tým sa z pôvodne užitočnej funkcie stáva účinná zbraň, ktorú možno zneužiť na spúšťanie kódu dodaného útočníkom.
„To, čo robí tento exploit mimoriadne nebezpečným, je fakt, že cieli na trvalú pamäť AI, nielen na reláciu prehliadača,“ uviedla Michelle Levy, vedúca výskumu bezpečnosti v LayerX Security. „Spojením štandardného CSRF s operáciou zápisu do pamäte môže útočník nepozorovane zasadiť inštrukcie, ktoré prežijú naprieč zariadeniami, reláciami a dokonca aj rôznymi prehliadačmi.“
„V našich testoch, keď bola pamäť ChatGPT narušená, následné ‘bežné’ požiadavky mohli vyvolať sťahovanie kódu, eskaláciu oprávnení alebo exfiltráciu dát – bez spustenia účinných bezpečnostných mechanizmov,“ dodala Levy.
Priebeh útoku:
- Používateľ sa prihlási do ChatGPT.
- Útočník ho pomocou sociálneho inžinierstva prinúti kliknúť na škodlivý odkaz.
- Škodlivá webová stránka spustí CSRF požiadavku, ktorá využíva fakt, že používateľ je už autentifikovaný, a bez jeho vedomia vloží skryté inštrukcie do pamäte ChatGPT.
- Keď používateľ neskôr použije ChatGPT na legitímny účel, „nákazlivé“ pamäte sa aktivujú, čo vedie k spusteniu kódu.
Ďalšie technické detaily potrebné na realizáciu útoku neboli zverejnené.
Podľa LayerX je problém zhoršený tým, že ChatGPT Atlas nemá dostatočne robustné antiphishingové mechanizmy, čo podľa firmy vystavuje používateľov až o 90 % vyššiemu riziku než tradičné prehliadače ako Google Chrome alebo Microsoft Edge.
V testoch, ktoré zahŕňali viac než 100 reálnych webových zraniteľností a phishingových útokov, dokázal Edge zablokovať 53 % z nich, Google Chrome 47 % a Dia 46 %.
Na porovnanie – prehliadače Perplexit Comet a ChatGPT Atlas zastavili len 7 % a 5,8 % škodlivých stránok.
Tým sa otvára široké spektrum scenárov útokov – napríklad situácia, keď vývojár požiada ChatGPT o napísanie kódu a AI mu nepozorovane vloží skryté príkazy ako súčasť generovaného skriptu.
Tento vývoj prichádza krátko po tom, čo spoločnosť NeuralTrust demonštrovala útok typu prompt injection postihujúci ChatGPT Atlas, pri ktorom možno „omnibox“ prehliadača obísť tak, že sa škodlivý prompt zamaskuje ako neškodný URL odkaz.
Zistenie nasleduje po správach, že AI agenti sa stali najčastejším vektorom exfiltrácie dát v podnikových prostrediach.
„AI prehliadače integrujú aplikácie, identitu a inteligenciu do jediného povrchu útoku založeného na AI,“ uviedol Eshed.
„Zraniteľnosti ako Tainted Memories sú novým typom dodávateľského reťazca: cestujú spolu s používateľom, kontaminujú jeho budúcu prácu a rozmazávajú hranicu medzi užitočnou AI automatizáciou a skrytým ovládaním.“
„Keďže sa prehliadač stáva spoločným rozhraním pre AI a nové inteligentné prehliadače prinášajú umelú inteligenciu priamo do prostredia prehliadania, podniky musia začať považovať prehliadače za kritickú infraštruktúru – pretože to je ďalšia hranica produktivity a práce s AI,“ uzavrel Eshed.
Viac informácií tu:
https://thehackernews.com/2025/10/new-chatgpt-atlas-browser-exploit-lets.html