Ranjivost u ChatGPT Atlas veb pregledaču, koji razvija OpenAI, otvara potencijalno ozbiljan bezbednosni problem za korisnike koji se oslanjaju na AI u svakodnevnom radu. Stručnjaci upozoravaju da napadači mogu ubaciti skrivena zlonamerna uputstva u trajnu memoriju asistenta i tako dugoročno kompromitovati njegove odgovore, pa čak i pokrenuti proizvoljan kod.
Istraživanje koje potpisuje LayerX Security pokazuje da se napad oslanja na klasičnu CSRF ranjivost, ali sa novim i opasnijim implikacijama u kontekstu AI alata. Umesto jednokratnog efekta, kompromitovana memorija ostaje aktivna kroz različite sesije i uređaje, sve dok korisnik ručno ne obriše memoriju u podešavanjima.
"Ova ranjivost može omogućiti napadačima da zaraze sisteme zlonamernim kodom, eskaliraju privilegije ili implementiraju malver", izjavio je Or Ešed, suosnivač i CEO kompanije LayerX Security, u analizi podeljenoj sa specijalizovanim bezbednosnim medijima.
OpenAI je funkciju memorije u ChatGPT-u uveo u februaru 2024. godine kako bi asistent pamtio korisne informacije između razgovora i pružao personalizovanije odgovore. Memorija može sadržati različite detalje, od imena korisnika i interesovanja, do profesionalnog konteksta u kojem se alat koristi. Upravo ta prednost sada se pokazuje kao potencijalna tačka napada.
Kako funkcioniše napad i zašto je posebno opasan
Napad počinje u trenutku kada je korisnik već prijavljen u ChatGPT Atlas. Kroz socijalni inženjering, korisnik biva naveden da otvori zlonamerni link, nakon čega spoljašnji sajt šalje CSRF zahtev koji ubacuje skrivena uputstva direktno u memoriju ChatGPT-a, bez ikakve vidljive interakcije. Kada korisnik kasnije koristi ChatGPT u legitimne svrhe, kontaminirana memorija utiče na ponašanje AI-ja i može dovesti do izvršavanja koda ili manipulacije izlazom.
Poseban problem predstavlja činjenica da takva zlonamerna uputstva ostaju aktivna dugoročno. Za razliku od klasičnih phishing ili XSS napada, ovde nema jasnog trenutka kompromitacije. AI nastavlja da funkcioniše normalno, ali sa trajno izmenjenim kontekstom.
LayerX dodatno ističe da ChatGPT Atlas trenutno nema dovoljno jake anti-phishing i anti-exploitation mehanizme. U poređenju sa tradicionalnim pregledačima, rizik je značajno veći. U testovima sprovedenim nad više od 100 realnih veb napada i phishing scenarija, Microsoft Edge je blokirao 53% pokušaja, Google Chrome 47%, a Dia 46%. Sa druge strane, Perplexity Comet je zaustavio samo 7% napada, dok je ChatGPT Atlas ostao na svega 5,8%.
Za IT stručnjake i programere ovo otvara posebno zabrinjavajući scenario. U slučaju da korisnik zatraži od ChatGPT-a da napiše ili izmeni kod, kompromitovana memorija može ubaciti skrivena uputstva direktno u generisani kod, bez jasnog traga o poreklu takvog ponašanja.
Ova ranjivost dolazi ubrzo nakon demonstracija koje je izveo NeuralTrust, gde je pokazano da se ChatGPT Atlas može "jailbreak-ovati" maskiranjem zlonamernog prompta kao bezopasnog URL-a unetog u omnibox. Istovremeno, sve više izveštaja ukazuje na to da AI agenti postaju jedan od najčešćih vektora za eksfiltraciju podataka u poslovnim okruženjima.
Za organizacije koje razmatraju širu upotrebu AI alata u razvoju softvera i automatizaciji, ovaj slučaj predstavlja jasan signal da bezbednosni modeli moraju da evoluiraju jednako brzo kao i sama veštačka inteligencija.