Cybersecurity-onderzoekers hebben een nieuwe kwetsbaarheid ontdekt in de ChatGPT Atlas-webbrowser van OpenAI, waardoor kwaadwillende actoren snode instructies in het geheugen van de door kunstmatige intelligentie (AI) aangedreven assistent kunnen injecteren en willekeurige code kunnen uitvoeren.
“Deze exploit kan aanvallers in staat stellen systemen te infecteren met kwaadaardige code, zichzelf toegangsrechten te verlenen of malware in te zetten”, zegt mede-oprichter en CEO van LayerX Security, Or Eshed, in een rapport gedeeld met The Hacker News.
De aanval maakt in de kern gebruik van een cross-site request forgery (CSRF)-fout die kan worden misbruikt om kwaadaardige instructies in het permanente geheugen van ChatGPT te injecteren. Het beschadigde geheugen kan vervolgens op verschillende apparaten en sessies blijven bestaan, waardoor een aanvaller verschillende acties kan uitvoeren, waaronder het overnemen van de controle over het account, de browser of aangesloten systemen van een gebruiker, wanneer een ingelogde gebruiker ChatGPT voor legitieme doeleinden probeert te gebruiken.
Geheugen, voor het eerst geïntroduceerd door OpenAI in februari 2024, is ontworpen om de AI-chatbot in staat te stellen nuttige details tussen chats door te onthouden, waardoor de reacties persoonlijker en relevanter kunnen zijn. Dit kan van alles zijn, variërend van de naam en favoriete kleur van een gebruiker tot zijn interesses en voedingsvoorkeuren.
De aanval vormt een aanzienlijk veiligheidsrisico omdat de kwaadaardige instructies blijven bestaan, doordat de herinneringen worden aangetast, tenzij gebruikers expliciet naar de instellingen navigeren en deze verwijderen. Door dit te doen, verandert het een nuttige functie in een krachtig wapen dat kan worden gebruikt om door de aanvaller aangeleverde code uit te voeren.
“Wat deze exploit uniek gevaarlijk maakt, is dat deze zich richt op het persistente geheugen van de AI, en niet alleen op de browsersessie”, zegt Michelle Levy, hoofd beveiligingsonderzoek bij LayerX Security. “Door een standaard CSRF aan een geheugenschrijf te koppelen, kan een aanvaller onzichtbaar instructies plaatsen die overleven op verschillende apparaten, sessies en zelfs verschillende browsers.”
“In onze tests konden, zodra het geheugen van ChatGPT besmet was, daaropvolgende ‘normale’ prompts leiden tot het ophalen van code, escalaties van bevoegdheden of gegevensexfiltratie zonder zinvolle beveiligingen in werking te stellen.”
De aanval verloopt als volgt:
- Gebruiker logt in op ChatGPT
- De gebruiker wordt door social engineering misleid om een kwaadaardige link te lanceren
- De kwaadaardige webpagina activeert een CSRF-verzoek, waarbij gebruik wordt gemaakt van het feit dat de gebruiker al is geverifieerd, om zonder hun medeweten verborgen instructies in het geheugen van ChatGPT te injecteren
- Wanneer de gebruiker ChatGPT voor een legitiem doel bevraagt, worden de besmette herinneringen opgeroepen, wat leidt tot code-uitvoering
Aanvullende technische details om de aanval uit te voeren zijn achtergehouden. LayerX zei dat het probleem wordt verergerd door het gebrek aan robuuste anti-phishing-controles van ChatGPT Atlas, aldus het browserbeveiligingsbedrijf, en voegt eraan toe dat gebruikers tot 90% meer worden blootgesteld dan traditionele browsers zoals Google Chrome of Microsoft Edge.
In tests tegen meer dan 100 in-the-wild webkwetsbaarheden en phishing-aanvallen slaagde Edge erin 53% daarvan te stoppen, gevolgd door Google Chrome met 47% en Dia met 46%. Daarentegen hielden Comet en ChatGPT Atlas van Perplexit slechts 7% en 5,8% van de kwaadaardige webpagina’s tegen.
Dit opent de deur naar een breed spectrum aan aanvalsscenario’s, waaronder een waarbij het verzoek van een ontwikkelaar aan ChatGPT om code te schrijven ervoor kan zorgen dat de AI-agent verborgen instructies binnensluipt als onderdeel van de vibe-codering.
De ontwikkeling komt op het moment dat NeuralTrust een snelle injectie-aanval demonstreerde die ChatGPT Atlas treft, waar de omnibox kan worden gejailbreakt door een kwaadaardige prompt te vermommen als een ogenschijnlijk onschadelijke URL om te bezoeken. Het volgt ook op een rapport dat AI-agents de meest voorkomende data-exfiltratievector in bedrijfsomgevingen zijn geworden.
“AI-browsers integreren apps, identiteit en intelligentie in één enkel AI-bedreigingsoppervlak”, aldus Eshed. “Kwetsbaarheden als ‘Tainted Memories’ vormen de nieuwe toeleveringsketen: ze reizen met de gebruiker mee, besmetten toekomstig werk en vervagen de grens tussen behulpzame AI-automatisering en geheime controle.”
“Nu de browser de gemeenschappelijke interface voor AI wordt, en nieuwe agentische browsers AI rechtstreeks in de browse-ervaring brengen, moeten bedrijven browsers behandelen als kritische infrastructuur, omdat dat de volgende grens is voor AI-productiviteit en -werk.”
