Problema 6342

Investigadores de ciberseguridad han descubierto una nueva vulnerabilidad en el navegador web ChatGPT Atlas de OpenAI que podría permitir a atacantes inyectar instrucciones maliciosas en la memoria del asistente de inteligencia artificial (IA) y ejecutar código arbitrario.

"Esta vulnerabilidad permite a los atacantes infectar sistemas con código malicioso, otorgarse privilegios de acceso o desplegar malware", afirmó Or Eshed, cofundador y director ejecutivo de LayerX Security, en un informe compartido con The Hacker News.

El ataque, en esencia, aprovecha una vulnerabilidad de falsificación de solicitudes entre sitios (CSRF) que podría explotarse para inyectar instrucciones maliciosas en la memoria persistente de ChatGPT. La memoria dañada puede persistir entre dispositivos y sesiones, lo que permite a un atacante realizar diversas acciones, como tomar el control de la cuenta, el navegador o los sistemas conectados de un usuario, cuando este intenta usar ChatGPT con fines legítimos.

La función de memoria, introducida por primera vez por OpenAI en febrero de 2024, está diseñada para que el chatbot de IA recuerde detalles útiles entre conversaciones, lo que permite que sus respuestas sean más personalizadas y relevantes. Esto puede incluir desde el nombre y el color favorito del usuario hasta sus intereses y preferencias alimentarias.

El ataque supone un riesgo de seguridad significativo, ya que al dañar la memoria, permite que las instrucciones maliciosas persistan a menos que los usuarios accedan a la configuración y las eliminen explícitamente. Al hacerlo, convierte una función útil en un arma potente que puede usarse para ejecutar código malicioso.

«Lo que hace que esta vulnerabilidad sea especialmente peligrosa es que ataca la memoria persistente de la IA, no solo la sesión del navegador», afirmó Michelle Levy, directora de investigación de seguridad en LayerX Security. «Al encadenar un CSRF estándar a una escritura en memoria, un atacante puede implantar instrucciones de forma invisible que persisten en distintos dispositivos, sesiones e incluso navegadores».

«En nuestras pruebas, una vez comprometida la memoria de ChatGPT, las solicitudes "normales" posteriores podían desencadenar la descarga de código, la escalada de privilegios o la exfiltración de datos sin activar las medidas de seguridad pertinentes».

[] (https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjo3qChbhsdwivpSUSwDoK1NN1KwRYEjkFFzZEs0Ds9z2ENrVryc1YiL_39sjFT4HzKD3yq0ZVH4esLxkUj1KOnouQ2n-uug2-F_8-WbTT7HnBlX7eWDrUpfyk4f4UFAnvsIMzMfpk_jkTRj4lG2S-0KKEnDUYF96V451r6XDPQTHIvxIxH48_Y_b7gHQnF/s790-rw-e365/layerx.jpg)

El El ataque se desarrolla de la siguiente manera:

• El usuario inicia sesión en ChatGPT.

• Mediante ingeniería social, el usuario es engañado para que abra un enlace malicioso.

• La página web maliciosa activa una solicitud CSRF, aprovechando que el usuario ya está autenticado, para inyectar instrucciones ocultas en la memoria de ChatGPT sin su conocimiento.

• Cuando el usuario consulta ChatGPT con un propósito legítimo, se ejecutan las instrucciones infectadas, lo que permite la ejecución de código.

No se han revelado detalles técnicos adicionales sobre cómo se lleva a cabo el ataque. LayerX afirmó que el problema se agrava por la falta de controles antiphishing robustos en ChatGPT Atlas, lo que deja a los usuarios hasta un 90 % más expuestos que con navegadores tradicionales como Google Chrome o Microsoft Edge.

En pruebas realizadas contra más de 100 vulnerabilidades web y ataques de phishing reales, Edge logró detener el 53 %, seguido de Google Chrome con un 47 % y Dia con un 46 %. En contraste, Comet de Perplexit y ChatGPT Atlas solo bloquearon el 7 % y el 5,8 % de las páginas web maliciosas, respectivamente.

Esto abre la puerta a un amplio abanico de escenarios de ataque, incluyendo uno en el que la solicitud de un desarrollador a ChatGPT para que escriba código puede provocar que el agente de IA inserte instrucciones ocultas como parte de su estrategia de codificación por influencia.

Este desarrollo se produce después de que NeuralTrust demostrara un ataque de inyección de prompts que afecta a ChatGPT Atlas, donde su barra de direcciones puede ser vulnerada disfrazando un prompt malicioso como una URL aparentemente inofensiva. Esto también se desprende de un informe que señala que los agentes de IA se han convertido en el vector de exfiltración de datos más común en entornos empresariales.

«Los navegadores con IA están integrando aplicaciones, identidad e inteligencia en una única superficie de ataque», afirmó Eshed. «Vulnerabilidades como "Recuerdos contaminados" constituyen la nueva cadena de suministro: acompañan al usuario, contaminan su trabajo futuro y difuminan la línea entre la automatización útil de la IA y el control encubierto».

«A medida que el navegador se consolida como la interfaz habitual para la IA, y a medida que los nuevos navegadores con agentes incorporan la IA directamente en la experiencia de navegación, las empresas deben tratar los navegadores como infraestructura crítica, ya que representan la próxima frontera de la productividad y el trabajo con IA».