Дослідники з кібербезпеки компанії LayerX виявили критичну вразливість у браузері ChatGPT Atlas від OpenAI, яка дозволяє зловмисникам впроваджувати шкідливі інструкції в систему пам’яті ChatGPT за допомогою атак типу Cross-Site Request Forgery (CSRF).
Про цю уразливість було повідомлено компанії OpenAI у відповідності з політикою відповідального розкриття інформації 27 жовтня 2025 року. Ця проблема є першою публічно задокументованою проблемою безпеки, що стосується нового агента браузера, і створює значні загрози для користувачів, які покладаються на інструменти штучного інтелекту у сфері кодування та управління системами.
Експлуатація CSRF як спосіб отруєння пам’яті
Уразливість ґрунтується на принциповій недосконалості у роботі ChatGPT Atlas з аутентифікованими сесіями та обробкою міжсайтових запитів. Зловмисники можуть застосовувати техніку CSRF для використання чинних облікових даних жертви в ChatGPT, що дає змогу несанкціоновано вводити приховані команди безпосередньо у функцію пам’яті платформи.
Основні аспекти роботи цієї функції пам’яті:
- Зберігає переваги користувачів, деталі проектів і контекстну інформацію між сесіями.
- Фактично виконує роль постійної бази знань штучного інтелекту.
У випадку, коли користувач увійшов до системи і переходить за шкідливим посиланням на скомпрометовану веб-сторінку, ресурс, контрольований зловмисником, надсилає CSRF-запит, що використовує активний токен аутентифікації жертви. Цей запит впроваджує маскувані інструкції у пам’ять ChatGPT без відома користувача, «забруднюючи» систему пам’яті ядра мовної моделі.
Наслідки цієї інфекції:
- Шкідливі «спогади» зберігаються на всіх пристроях і браузерах, де користувач входить у свій акаунт ChatGPT.
- Виявлення та ліквідація ураження ускладнені через його непомітність.
- Модифікована пам’ять виконує шкідливі інструкції під час легітимних взаємодій з ChatGPT.
- Це може призвести до виконання віддаленого коду з можливістю отримання контролю над акаунтами користувача, сесіями браузера, процесами генерування коду або підключеними системами.
Слід зазначити, що, хоча ця уразливість стосується всіх користувачів ChatGPT у будь-яких браузерах, користувачі Atlas перебувають у небезпеці найбільше, оскільки браузер за замовчуванням підтримує постійний вхід у ChatGPT, створюючи безперервну поверхню атаки для експлуатації CSRF.
Серйозні недоліки Atlas у протидії фішинг-атакам
Під час тестування було виявлено тривожні прогалини у здатності браузера Atlas розпізнавати та блокувати фішингові загрози. Дослідники перевірили браузер за допомогою 103 реальних вразливостей та фішингових кампаній, унаслідок чого Atlas зміг заблокувати лише шість шкідливих сторінок, що відповідає рівню відмови у 94,2%.
Для порівняння:
- Microsoft Edge заблокував 53% атак.
- Google Chrome – 47% атак.
Таким чином було встановлено, що користувачі Atlas приблизно на 90% більш схильні до фішингових загроз, ніж користувачі Chrome або Edge. Це пов’язано з відсутністю ефективних антифішингових засобів у архітектурі браузера Atlas.
Ця серйозна прогалина безпеки істотно підсилює ризик, зумовлений уразливістю ін’єкції пам’яті через CSRF, оскільки користувачі частіше стикаються з шкідливими посиланнями, що запускають ланцюжок атак.
Раніше дослідження LayerX, проведені щодо інших AI-браузерів, таких як Comet, Dia та Genspark, також показали тривожні результати: Comet та Genspark зупиняли лише 7% фішингових спроб. Водночас продуктивність Atlas є найнижчою серед усіх протестованих AI-підсилених браузерів, що викликає серйозні сумніви щодо пріоритетів безпеки у розвитку браузерів нового покоління.
Практична демонстрація уразливості
Дослідники LayerX продемонстрували реальні наслідки вразливості через доказ концепції атаки, націленої на розробників, які практикують “vibe coding” — колаборативний підхід до програмування, за якого розробники задають загальну мету, а ChatGPT генерує реалізаційний код.
У цьому сценарії отруєні пам’яттю інструкції змушують ChatGPT виробляти, здавалося б, легітимний код із прихованою шкідливою функціональністю, наприклад:
- Завантаження та виконання віддаленого коду з серверів злоумисників.
- Отримання привілеїв в системі.
Демонстрація показала, що існуючі механізми захисту ChatGPT від зловмисних інструкцій мають різний ступінь ефективності, залежно від складності атаки та способу внесення шкідливого коду у пам’ять. Хоча деякі спроби генерації шкідливого коду викликають попередження, більш витончені атаки можуть повністю обходити систему виявлення або спричиняти лише незначні попереджувальні сигнали, які легко пропустити в масштабних блоках коду.
Відповідно, це створює потенційно небезпечну ситуацію, де розробники можуть непомітно вставляти бекдори, механізми викрадення даних або інший шкідливий код у продуктивні системи.
Особливу тривогу викликає той факт, що інфекція пам’яті зберігається на різних пристроях і браузерах, що має критичне значення для користувачів, які працюють як у приватному, так і у корпоративному середовищі. Після зараження шкідливі інструкції супроводжують користувача по всіх системах, що потенційно дає змогу зловмисникам здійснювати переміщення в межах мережі від персональних пристроїв до корпоративних ресурсів.
Для запобігання поширенню інформації про методи реалізації атаки, компанія LayerX тимчасово утримується від надання детальної технічної документації, доки OpenAI не впровадить повний комплекс виправлень.
Акція до Місяця кібербезпеки: покращуйте свої навички з понад 100 преміальними курсами з кібербезпеки за програмою Diamond Membership від EHA. Приєднуйтесь сьогодні!
