Компанія з кібербезпеки LayerX виявила критичну вразливість у браузері ChatGPT Atlas від OpenAI, яка дозволяє зловмисникам впроваджувати шкідливі інструкції у пам’ять ChatGPT та виконувати віддалене виконання коду.
Цей недолік у системі безпеки створює суттєву загрозу користувачам усіх браузерів, але особливо небезпечним він є для тих, хто користується новим браузером ChatGPT Atlas.
Cross-Site Request Forgery: Злом доступу до ChatGPT
Вразливість заснована на використанні атаки типу Cross-Site Request Forgery (CSRF), яка дає змогу зловмисникам експлуатувати повноваження користувачів ChatGPT. Атакуючі можуть використовувати автентифікаційні дані жертв, щоб впроваджувати шкідливі інструкції у функцію пам’яті AI-асистента.
Після цього, під час наступної взаємодії користувача з ChatGPT з легітимними намірами, заражені дані активуються, що може призвести до виконання віддаленого коду та потенційно надати зловмисникам контроль над обліковими записами користувачів, браузерами, кодовими сховищами або підключеними системами.
Схема атаки розпочинається в момент, коли користувач, що увійшов до ChatGPT, відкриває посилання на зловмисну веб-сторінку.
Ця сторінка активує CSRF-запит, який використовує автентифікаційні дані користувача ChatGPT, а потім непомітно впроваджує приховані інструкції у пам’ять ChatGPT, інфікувавши основний мовний модуль без відома користувача.
Під час наступного запиту до ChatGPT заражені дані запускаються, що дозволяє виконати шкідливий код.
Функція пам’яті ChatGPT, розроблена для запам’ятовування переваг, проєктів і стилістичних особливостей користувача у різних діалогах, перетворюється на постійний вектор атаки в цьому випадку.
Після ін’єкції зловмисних інструкцій через CSRF-запит, ChatGPT стає непередбачуваним активним учасником реалізації шкідливих команд.
Інфекція розповсюджується на всі пристрої, де використовується цей обліковий запис — незалежно від комп’ютера чи браузера, що значно ускладнює усунення загрози. Це особливо небезпечно для користувачів, які використовують один акаунт як для роботи, так і для особистих цілей.
Хоча ця вразливість загрожує користувачам ChatGPT незалежно від браузера, власники Atlas зазнають значно більших ризиків.
На малюнку нижче представлено сценарій атаки:
Під час тестування LayerX виявила, що за замовчуванням користувачі Atlas залишаються постійно увійшлими в ChatGPT, через що автентифікаційні дані завжди доступні для CSRF-атак.
Ще більш тривожним є факт, що у випробуваннях Atlas проти понад ста реальних веб-уразливостей та фішингових атак було виявлено:
- Atlas дозволяв здійснити 97 з 103 атак, що становить показник відмови безпеки понад 94%.
- Традиційні браузери, такі як Edge, заблокували 53% атак.
- Chrome запобіг 47% шкідливих дій.
- Atlas зупинив лише 6% потенційно небезпечних веб-сторінок.
Це означає, що користувачі Atlas у ~90% випадків більш вразливі до фішингових атак у порівнянні з користувачами перевірених браузерів.
Відсутність ефективних антипіщингових механізмів у Atlas істотно підвищує ризик піддавання користувачів атакам, які можуть призвести до впровадження шкідливих інструкцій.
LayerX продемонструвала доказове моделювання атаки, націленої на користувачів Atlas, що займаються “vibe coding” — підходом, у якому розробники співпрацюють з AI як творчими партнерами, а не лише виконавцями коду рядок за рядком.
У цьому сценарії атаки зловмисники впроваджують команди, які змусять ChatGPT генерувати нібито легітимний код зі прихованими бекдорами, механізмами викрадення даних або можливостями віддаленого виконання коду.
Згенеровані скрипти можуть отримувати шкідливий код з серверів, контрольованих злоумисниками, і намагатися його виконати з підвищеними привілеями, одночасно маючи нормальний вигляд для користувачів.
Варто зазначити, що ChatGPT має певні засоби захисту від впровадження небажаних інструкцій, однак їх ефективність варіюється залежно від рівня складності атаки і способу попадання шкідливого коду у пам’ять.
Добре замаскований шкідливий код може цілковито уникнути виявлення, залишаючи користувача лише з непомітними попередженнями, які легко не помітити.
Вразливість була передана компанії OpenAI у рамках відповідальної політики розкриття, при цьому технічні деталі були приховані, щоб унеможливити її використання в злочинних цілях.
Слідкуйте за нами в Google News, LinkedIn та X, щоб отримувати миттєві оновлення, а також додайте GBH до списку улюблених джерел у Google.
