Investigadores de ciberseguridad han descubierto una nueva vulnerabilidad en el navegador web ChatGPT Atlas de OpenAI que podría permitir a actores maliciosos inyectar instrucciones nefastas en la memoria del asistente impulsado por inteligencia artificial (IA) y ejecutar código arbitrario.
«Este exploit puede permitir a los atacantes infectar sistemas con código malicioso, otorgarse privilegios de acceso o implementar malware», dijo el cofundador y director ejecutivo de LayerX Security, Or Eshed, en un informe compartido con The Hacker News.
El ataque, en esencia, aprovecha una falla de falsificación de solicitudes entre sitios (CSRF) que podría explotarse para inyectar instrucciones maliciosas en la memoria persistente de ChatGPT. La memoria corrupta puede persistir en todos los dispositivos y sesiones, lo que permite a un atacante realizar diversas acciones, incluida la toma del control de la cuenta, el navegador o los sistemas conectados de un usuario, cuando un usuario que ha iniciado sesión intenta utilizar ChatGPT con fines legítimos.
La memoria, presentada por primera vez por OpenAI en febrero de 2024, está diseñada para permitir que el chatbot de IA recuerde detalles útiles entre chats, permitiendo así que sus respuestas sean más personalizadas y relevantes. Esto podría ser cualquier cosa, desde el nombre de un usuario y su color favorito hasta sus intereses y preferencias dietéticas.
El ataque plantea un riesgo de seguridad significativo porque, al contaminar los recuerdos, permite que las instrucciones maliciosas persistan a menos que los usuarios accedan explícitamente a la configuración y las eliminen. Al hacerlo, convierte una característica útil en un arma potente que puede usarse para ejecutar código proporcionado por el atacante.
«Lo que hace que este exploit sea especialmente peligroso es que apunta a la memoria persistente de la IA, no sólo a la sesión del navegador», dijo Michelle Levy, jefa de investigación de seguridad de LayerX Security. «Al encadenar un CSRF estándar a una escritura en memoria, un atacante puede plantar de manera invisible instrucciones que sobrevivan en dispositivos, sesiones e incluso en diferentes navegadores».
«En nuestras pruebas, una vez que la memoria de ChatGPT se vio contaminada, las indicaciones ‘normales’ posteriores podrían desencadenar búsquedas de código, escaladas de privilegios o exfiltración de datos sin activar salvaguardas significativas».
El ataque se desarrolla de la siguiente manera:
- El usuario inicia sesión en ChatGPT
- La ingeniería social engaña al usuario para que inicie un enlace malicioso
- La página web maliciosa activa una solicitud CSRF, aprovechando el hecho de que el usuario ya está autenticado, para inyectar instrucciones ocultas en la memoria de ChatGPT sin su conocimiento.
- Cuando el usuario consulta ChatGPT con un propósito legítimo, se invocarán los recuerdos contaminados, lo que provocará la ejecución del código.
Se han ocultado detalles técnicos adicionales para llevar a cabo el ataque. LayerX dijo que el problema se ve exacerbado por la falta de controles anti-phishing sólidos de ChatGPT Atlas, dijo la compañía de seguridad del navegador, agregando que deja a los usuarios hasta un 90% más expuestos que los navegadores tradicionales como Google Chrome o Microsoft Edge.
En pruebas contra más de 100 vulnerabilidades web y ataques de phishing, Edge logró detener el 53% de ellos, seguido de Google Chrome con el 47% y Dia con el 46%. Por el contrario, Comet y ChatGPT Atlas de Perplexit detuvieron sólo el 7% y el 5,8% de las páginas web maliciosas.
Esto abre la puerta a un amplio espectro de escenarios de ataque, incluido uno en el que la solicitud de un desarrollador a ChatGPT para escribir código puede hacer que el agente de IA introduzca instrucciones ocultas como parte del esfuerzo de codificación de Vibe.
El desarrollo se produce cuando NeuralTrust demostró un ataque de inyección rápida que afecta a ChatGPT Atlas, donde su omnibox puede ser liberado disfrazando un mensaje malicioso como una URL aparentemente inofensiva para visitar. También surge un informe de que los agentes de IA se han convertido en el vector de filtración de datos más común en entornos empresariales.
«Los navegadores de IA están integrando aplicaciones, identidad e inteligencia en una única superficie de amenazas de IA», dijo Eshed. «Las vulnerabilidades como ‘Tainted Memories’ son la nueva cadena de suministro: viajan con el usuario, contaminan el trabajo futuro y desdibujan la línea entre la útil automatización de la IA y el control encubierto».
«A medida que el navegador se convierte en la interfaz común para la IA y los nuevos navegadores agentes incorporan la IA directamente a la experiencia de navegación, las empresas deben tratar a los navegadores como infraestructura crítica, porque esa es la próxima frontera de la productividad y el trabajo de la IA».