レポート 6342

Loading...
ChatGPT Atlasブラウザの新しいエクスプロイトにより、攻撃者は永続的な隠しコマンドを仕掛けられるようになる
thehackernews.com · 2025

サイバーセキュリティ研究者らは、OpenAIのChatGPT Atlasウェブブラウザに新たな脆弱性を発見しました。この脆弱性により、悪意のある攻撃者が人工知能(AI)搭載アシスタントのメモリに不正な命令を挿入し、任意のコードを実行できる可能性があります。

LayerX Securityの共同創設者兼CEOであるOr Eshed氏は、The Hacker Newsに共有されたレポートの中で、「この脆弱性を悪用することで、攻撃者は悪意のあるコードをシステムに感染させたり、自身にアクセス権を付与したり、マルウェアを展開したりすることが可能になります」と述べています。

この攻撃は、基本的にクロスサイトリクエストフォージェリ(CSRF)の脆弱性を悪用しており、ChatGPTの永続メモリに悪意のある命令を挿入するために悪用される可能性があります。破損したメモリはデバイスやセッションを超えて存続する可能性があり、ログインしたユーザーが正当な目的でChatGPTを使用しようとした際に、攻撃者がユーザーのアカウント、ブラウザ、または接続されたシステムの制御を奪取するなど、様々な操作を実行できるようになります。

メモリは、OpenAIによって2024年2月に初めて導入され、AIチャットボットがチャット間で有用な詳細を記憶できるように設計されており、これにより、応答をよりパーソナライズされ、より関連性の高いものにすることができます。これは、ユーザーの名前や好きな色から、興味や食事の好みまで、あらゆる情報です。

この攻撃は、メモリを汚染することで、ユーザーが明示的に設定に移動して削除しない限り、悪意のある指示が存続できるため、重大なセキュリティリスクをもたらします。そうすることで、便利な機能が、攻撃者が用意したコードを実行するための強力な武器へと変貌を遂げてしまいます。

LayerX Securityのセキュリティリサーチ責任者であるMichelle Levy氏は、「このエクスプロイトが特に危険なのは、ブラウザセッションだけでなく、AIの永続メモリを標的としている点です」と述べています。「標準的なCSRFをメモリ書き込みに連鎖させることで、攻撃者はデバイス、セッション、さらには異なるブラウザ間でも有効な命令を目に見えない形で埋め込むことができます。」

「私たちのテストでは、ChatGPTのメモリが汚染されると、その後の「通常の」プロンプトによって、有効な安全対策を作動させることなく、コード取得、権限昇格、またはデータ窃取が引き起こされる可能性があります。」

[] (https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjo3qChbhsdwivpSUSwDoK1NN1KwRYEjkFFzZEs0Ds9z2ENrVryc1YiL_39sjFT4HzKD3yq0ZVH4esLxkUj1KOnouQ2n-uug2-F_8-WbTT7HnBlX7eWDrUpfyk4f4UFAnvsIMzMfpk_jkTRj4lG2S-0KKEnDUYF96V451r6XDPQTHIvxIxH48_Y_b7gHQnF/s790-rw-e365/layerx.jpg)

その攻撃は以下のように進行します。

  • ユーザーがChatGPTにログインする
  • ソーシャルエンジニアリングによって、ユーザーは悪意のあるリンクを開くように誘導される
  • 悪意のあるウェブページは、ユーザーが既に認証済みであることを利用してCSRFリクエストをトリガーし、ユーザーに気付かれずにChatGPTのメモリに隠された命令を挿入する
  • ユーザーが正当な目的でChatGPTにクエリを実行すると、汚染されたメモリが呼び出され、コードが実行される

攻撃を実行するための技術的な詳細は明らかにされていない。ブラウザセキュリティ企業LayerXは、ChatGPT Atlasに強力なフィッシング対策機能がないため、この問題が悪化していると述べ、Google ChromeやMicrosoft Edgeなどの従来のブラウザと比較して、ユーザーが最大90%も危険にさらされていると付け加えた。

100件を超える実在のウェブ脆弱性とフィッシング攻撃に対するテストにおいて、Edgeは53%の攻撃を阻止し、次いでGoogle Chromeが47%、Diaが46%の攻撃を阻止した。対照的に、PerplexitのCometとChatGPT Atlasは、悪意のあるウェブページをそれぞれわずか7%と5.8%しか阻止できませんでした。

これにより、開発者がChatGPTにコード作成を依頼し、AIエージェントがバイブコーディングの一環として隠し命令を仕込むといった、幅広い攻撃シナリオが想定されます。

この開発は、NeuralTrustがChatGPT Atlasに影響を与えるプロンプトインジェクション攻撃を実証したことと並行して行われました。この攻撃では、悪意のあるプロンプトを一見無害なURLに偽装することで、アドレスバーをジェイルブレイクすることが可能です。これは、AIエージェントが企業環境において最も一般的なデータ流出ベクトルとなっているという報告を受けてのものです。

「AIブラウザは、アプリ、ID、インテリジェンスを単一のAI脅威サーフェスに統合しています」とエシェッド氏は述べています。「『Tainted Memories』のような脆弱性は、新たなサプライチェーンです。これらはユーザーと共に移動し、将来の作業を汚染し、有益なAI自動化と隠れた制御の境界を曖昧にします。」

「ブラウザがAIの共通インターフェースとなり、新しいエージェントブラウザがAIをブラウジング体験に直接組み込むようになるにつれて、企業はブラウザを重要なインフラストラクチャとして扱う必要があります。なぜなら、ブラウザこそがAIの生産性と仕事の次のフロンティアだからです。」

情報源を読む