Các nhà nghiên cứu an ninh mạng vừa phát hiện một lỗ hổng mới trong trình duyệt web ChatGPT Atlas của OpenAI, có thể cho phép các đối tượng độc hại tiêm các lệnh nguy hiểm vào bộ nhớ của trợ lý trí tuệ nhân tạo (AI) và thực thi mã tùy ý.
"Lỗ hổng exploit này có thể cho phép kẻ tấn công lây nhiễm mã độc vào hệ thống, tự cấp quyền truy cập hoặc triển khai malware," Or Eshed, Đồng sáng lập và CEO của LayerX Security, cho biết trong một báo cáo được chia sẻ với The Hacker News.
Về cơ bản, cuộc tấn công này khai thác một lỗ hổng cross-site request forgery (CSRF) có thể bị lợi dụng để tiêm các lệnh độc hại vào bộ nhớ dai dẳng của ChatGPT. Bộ nhớ bị nhiễm độc sau đó có thể tồn tại trên nhiều thiết bị và phiên làm việc, cho phép kẻ tấn công thực hiện nhiều hành động khác nhau, bao gồm chiếm quyền kiểm soát tài khoản, trình duyệt hoặc các hệ thống được kết nối của người dùng khi người dùng đã đăng nhập cố gắng sử dụng ChatGPT cho các mục đích hợp pháp.
Tính năng Memory, lần đầu tiên được OpenAI giới thiệu vào tháng 2 năm 2024, được thiết kế để cho phép chatbot AI ghi nhớ các chi tiết hữu ích giữa các cuộc trò chuyện, từ đó giúp các phản hồi của nó trở nên cá nhân hóa và phù hợp hơn. Điều này có thể bao gồm bất cứ thứ gì từ tên người dùng và màu sắc yêu thích đến sở thích và thói quen ăn uống của họ.
Cuộc tấn công đặt ra một rủi ro an ninh đáng kể ở chỗ, bằng cách làm nhiễm độc bộ nhớ, nó cho phép các lệnh độc hại tồn tại trừ khi người dùng chủ động truy cập vào cài đặt và xóa chúng. Khi đó, một tính năng hữu ích đã biến thành một vũ khí lợi hại có thể được dùng để chạy mã do kẻ tấn công cung cấp.
"Điều làm cho lỗ hổng exploit này đặc biệt nguy hiểm là nó nhắm vào bộ nhớ dai dẳng của AI, chứ không chỉ phiên trình duyệt," Michelle Levy, trưởng bộ phận nghiên cứu an ninh tại LayerX Security, cho biết. "Bằng cách kết hợp một CSRF tiêu chuẩn với thao tác ghi vào bộ nhớ, kẻ tấn công có thể bí mật cài cắm các lệnh tồn tại trên nhiều thiết bị, phiên làm việc và thậm chí các trình duyệt khác nhau."
"Trong các thử nghiệm của chúng tôi, một khi bộ nhớ của ChatGPT bị nhiễm độc, các lời nhắc 'bình thường' sau đó có thể kích hoạt việc tải mã, leo thang đặc quyền hoặc rò rỉ dữ liệu mà không gây ra bất kỳ biện pháp bảo vệ đáng kể nào."
Cuộc tấn công diễn ra như sau:
- Người dùng đăng nhập vào ChatGPT.
- Người dùng bị lừa truy cập một liên kết độc hại thông qua kỹ thuật social engineering.
- Trang web độc hại kích hoạt một yêu cầu CSRF, lợi dụng việc người dùng đã được xác thực, để tiêm các lệnh ẩn vào bộ nhớ của ChatGPT mà họ không hề hay biết.
- Khi người dùng truy vấn ChatGPT cho một mục đích hợp pháp, các bộ nhớ bị nhiễm độc sẽ được kích hoạt, dẫn đến việc thực thi mã.
Các chi tiết kỹ thuật bổ sung để thực hiện cuộc tấn công đã được giữ kín. LayerX cho biết vấn đề trở nên trầm trọng hơn do ChatGPT Atlas thiếu các biện pháp kiểm soát chống phishing mạnh mẽ, công ty bảo mật trình duyệt này cho biết thêm, điều này khiến người dùng dễ bị lộ hơn tới 90% so với các trình duyệt truyền thống như Google Chrome hoặc Microsoft Edge.
Trong các thử nghiệm đối với hơn 100 lỗ hổng web và các cuộc tấn công phishing trong thực tế, Edge đã ngăn chặn được 53% trong số đó, tiếp theo là Google Chrome với 47% và Dia với 46%. Ngược lại, Perplexity's Comet và ChatGPT Atlas chỉ ngăn chặn được 7% và 5.8% các trang web độc hại.
Điều này mở ra một loạt các kịch bản tấn công rộng lớn, bao gồm cả trường hợp yêu cầu của nhà phát triển gửi tới ChatGPT để viết code có thể khiến tác nhân AI cài cắm các lệnh ẩn như một phần của nỗ lực coding.
Diễn biến này xảy ra khi NeuralTrust đã trình diễn một cuộc tấn công prompt injection ảnh hưởng đến ChatGPT Atlas, trong đó omnibox của nó có thể bị jailbroken bằng cách ngụy trang một prompt độc hại thành một URL có vẻ vô hại để truy cập. Nó cũng tiếp nối một báo cáo rằng các tác nhân AI đã trở thành phương pháp rò rỉ dữ liệu phổ biến nhất trong các môi trường doanh nghiệp.
"Các trình duyệt AI đang tích hợp ứng dụng, danh tính và trí tuệ vào một bề mặt tấn công AI duy nhất," Eshed nói. "Các lỗ hổng như 'Tainted Memories' là chuỗi cung ứng mới: chúng di chuyển cùng người dùng, làm ô nhiễm công việc trong tương lai và làm mờ ranh giới giữa tự động hóa AI hữu ích và kiểm soát bí mật."
"Khi trình duyệt trở thành giao diện phổ biến cho AI, và khi các trình duyệt tác nhân mới đưa AI trực tiếp vào trải nghiệm duyệt web, các doanh nghiệp cần coi trình duyệt là cơ sở hạ tầng quan trọng, bởi vì đó là ranh giới tiếp theo của năng suất và công việc AI."
