top of page
Buscar

Novo exploit no navegador ChatGPT Atlas permite ijeção de comandos ocultos persistentes

  • Foto do escritor: Orlando Santos Cyber Security Brazil
    Orlando Santos Cyber Security Brazil
  • 27 de out.
  • 3 min de leitura

ree

Pesquisadores de segurança descobriram uma nova e grave vulnerabilidade no navegador ChatGPT Atlas da OpenAI que pode ser explorada para injetar instruções maliciosas na memória do assistente de Inteligência Artificial (IA), permitindo a execução de código arbitrário. Este exploit representa um risco de segurança significativo, pois permite que os hackers estabeleçam comandos ocultos e persistentes.


"Essa exploração pode permitir que invasores infectem sistemas com código malicioso, concedam a si mesmos privilégios de acesso ou implantem malware," afirmou Or Eshed, cofundador e CEO da LayerX Security, em um relatório.


O ataque, apelidado de "Memórias Contaminadas", utiliza uma falha de Falsificação de Solicitação Entre Sites (CSRF) para injetar instruções nefastas na memória persistente do ChatGPT. A memória, um recurso introduzido pela OpenAI em fevereiro de 2024, foi projetada para permitir que o chatbot recorde detalhes úteis entre conversas, personalizando e tornando suas respostas mais relevantes. No entanto, ao corromper essa memória, as instruções maliciosas podem persistir em diversos dispositivos e sessões.


Um Recurso Transformado em Arma


O perigo reside no fato de que, quando um usuário autenticado tenta usar o ChatGPT para fins legítimos, a memória contaminada é invocada, permitindo que o invasor realize diversas ações, incluindo o roubo de contas, o controle do navegador ou a manipulação de sistemas conectados. A persistência do código malicioso é particularmente preocupante; as instruções permanecem a menos que o usuário acesse explicitamente as configurações da memória e as exclua.


"O que torna esse exploit excepcionalmente perigoso é que ele tem como alvo a memória persistente da IA, não apenas a sessão do navegador," explicou Michelle Levy, chefe de pesquisa de segurança da LayerX Security. "Ao encadear um CSRF padrão a uma gravação na memória, um invasor pode implantar invisivelmente instruções que sobrevivem em diferentes dispositivos, sessões e até mesmo navegadores."


Nos testes realizados pela LayerX, a contaminação da memória permitiu que prompts "normais" subsequentes desencadeassem buscas de código malicioso, escalonamento de privilégios ou exfiltração de dados, tudo isso sem acionar as salvaguardas internas do sistema.


O ataque segue uma sequência simples, mas eficaz:

  1. O usuário efetua login no ChatGPT.

  2. O usuário é levado, por meio de engenharia social, a clicar em um link malicioso.

  3. A página web maliciosa dispara uma solicitação CSRF, aproveitando o status autenticado do usuário para injetar instruções ocultas na memória do ChatGPT sem o seu conhecimento.

  4. Quando o usuário consulta o ChatGPT para um propósito legítimo, as memórias contaminadas são ativadas, levando à execução do código do invasor.

ree

Falta de Controles Antiphishing Aumenta a Exposição


A LayerX Security alertou que o problema é agravado pela falta de controles antiphishing robustos no navegador ChatGPT Atlas. A empresa de segurança de navegadores informou que isso deixa os usuários até 90% mais expostos a ataques do que em navegadores tradicionais, como Google Chrome ou Microsoft Edge.


Em testes comparativos envolvendo mais de 100 vulnerabilidades web e ataques de phishing, o Microsoft Edge bloqueou 53% das ameaças, o Google Chrome 47% e o Dia 46%. Em contraste, o ChatGPT Atlas e o Perplexity's Comet bloquearam apenas 5,8% e 7% das páginas web maliciosas, respetivamente.


Esta baixa taxa de proteção abre as portas para uma ampla gama de cenários de ataque. Um deles, exemplificado pelos pesquisadores, é aquele em que a solicitação de um desenvolvedor ao ChatGPT para escrever código pode fazer com que a IA insira instruções ocultas como parte do esforço de codificação.


Este desenvolvimento segue a demonstração de um ataque de injeção de prompts pela NeuralTrust, que afetava o ChatGPT Atlas ao desbloquear sua omnibox através de um prompt disfarçado de URL inofensiva. A notícia também coincide com relatórios recentes que indicam que agentes de IA se tornaram o vetor de exfiltração de dados mais comum em ambientes corporativos.


"Os navegadores de IA estão integrando aplicativos, identidade e inteligência em uma única superfície de ameaça de IA," comentou Eshed. "Vulnerabilidades como 'Memórias Contaminadas' são a nova cadeia de suprimentos: elas acompanham o usuário, contaminam o trabalho futuro e confundem a linha entre a automação útil da IA ​​e o controle secreto."


O executivo concluiu, reforçando que, à medida que o navegador se torna a interface comum para IA, as empresas precisam tratar os navegadores como infraestrutura crítica, pois representam a próxima fronteira da produtividade e do trabalho de IA.


Via - THN

 
 
 

Comentários

bottom of page