攻击者利用 ChatGPT Atlas 浏览器漏洞植入持久化隐藏指令

HackerNews 编译，转载请注明出处：

网络安全研究人员在OpenAI新推出的ChatGPT Atlas网络浏览器中发现了一个新漏洞，该漏洞可能允许恶意行为者向AI助手的记忆系统中注入恶意指令并运行任意代码。

LayerX安全公司的联合创始人兼首席执行官奥尔·埃舍德在与The Hacker News分享的一份报告中表示："该漏洞可利用允许攻击者使用恶意代码感染系统、为自己授予访问权限或部署恶意软件。"

该攻击的核心是利用跨站请求伪造漏洞，向ChatGPT的持久化记忆系统中注入恶意指令。被污染的记忆能够在不同设备和会话中持续存在，使得当已登录的用户尝试将ChatGPT用于合法目的时，攻击者能够进行各种操作，包括夺取用户账户、浏览器或连接系统的控制权。

ChatGPT的"记忆"功能于2024年2月首次推出，旨在让AI聊天机器人能在不同对话之间记住有用的细节，从而使其回复更加个性化和贴合上下文。这可能包括用户的姓名、偏爱的颜色、兴趣或饮食偏好等各种信息。

这种攻击构成了重大的安全风险，因为它通过污染记忆，使得恶意指令能够持续存在，除非用户明确前往设置并删除它们。如此一来，它将一个有用的功能变成了可以运行攻击者提供代码的强大武器。

LayerX安全公司安全研究主管米歇尔·莱维表示："该漏洞的独特危险性在于，它针对的是AI的持久化记忆，而不仅仅是浏览器会话。通过将标准的CSRF攻击与记忆写入操作串联起来，攻击者可以无形地植入能在不同设备、会话甚至不同浏览器中存活的指令。"

"在我们的测试中，一旦ChatGPT的记忆被污染，后续的'正常'提示就可能触发代码获取、权限提升或数据窃取，而不会触发有意义的防护措施。"

攻击的具体流程如下：

• 用户登录ChatGPT。

• 用户被社会工程学手段诱骗点击恶意链接。

• 恶意网页触发CSRF请求，利用用户已通过身份验证的事实，在用户不知情的情况下向ChatGPT的记忆系统中注入隐藏指令。

• 当用户为合法目的查询ChatGPT时，被污染的记忆会被调用，导致代码执行。

LayerX未透露实施该攻击所需的额外技术细节。该浏览器安全公司表示，ChatGPT Atlas缺乏强大的反钓鱼防护控制，加剧了这一问题，并补充说这使得用户遭受攻击的风险比谷歌Chrome或微软Edge等传统浏览器高出90%。

在对100多个真实网络漏洞和钓鱼攻击的测试中，Edge成功拦截了53%的攻击，其次是谷歌Chrome，拦截率为47%，Dia为46%。相比之下，Perplexity的Comet和ChatGPT Atlas仅分别拦截了7%和5.8%的恶意网页。

这为各种攻击场景打开了大门，包括一种场景：开发者请求ChatGPT编写代码，可能导致AI代理在"氛围编程"过程中嵌入隐藏指令。

这一事态发展与NeuralTrust演示的针对ChatGPT Atlas的提示注入攻击同时发生，后者通过将恶意提示伪装成看似无害的待访问URL，从而越狱其多功能地址栏。此前也有报告指出，AI代理已成为企业环境中最常见的数据泄露载体。

埃舍德表示："AI浏览器正在将应用、身份和智能集成到一个统一的AI威胁面上。像'被污染的记忆'这样的漏洞就是新的供应链攻击：它们随着用户传播，污染未来的工作，并模糊了有用的AI自动化与隐蔽控制之间的界限。"

消息来源：thehackernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文