VietNetwork.Vn

Các nhà nghiên cứu an ninh mạng đã phát hiện ra lỗ hổng bảo mật mới trong trình duyệt web ChatGPT Atlas của OpenAI, cho phép kẻ xấu đưa các lệnh độc hại vào bộ nhớ của trợ lý trí tuệ nhân tạo (AI) và chạy mã tùy ý.

"Lỗ hổng này có thể cho phép kẻ tấn công lây nhiễm mã độc vào hệ thống, cấp cho mình quyền truy cập hoặc triển khai phần mềm độc hại", Nhà đồng sáng lập kiêm Giám đốc điều hành của LayerX Security, Or Eshed, cho biết trong báo cáo chia sẻ với The Hacker News.


Về cơ bản, cuộc tấn công này khai thác lỗ hổng giả mạo yêu cầu chéo trang ( CSRF ) có thể bị khai thác để chèn các lệnh độc hại vào bộ nhớ liên tục của ChatGPT. Bộ nhớ bị lỗi sau đó có thể tồn tại trên nhiều thiết bị và phiên làm việc, cho phép kẻ tấn công thực hiện nhiều hành động khác nhau, bao gồm chiếm quyền kiểm soát tài khoản, trình duyệt hoặc hệ thống được kết nối của người dùng, khi người dùng đã đăng nhập cố gắng sử dụng ChatGPT cho các mục đích hợp pháp.

Bộ nhớ, được OpenAI giới thiệu lần đầu tiên vào tháng 2 năm 2024, được thiết kế để cho phép chatbot AI ghi nhớ các chi tiết hữu ích giữa các cuộc trò chuyện, từ đó cho phép phản hồi được cá nhân hóa và phù hợp hơn. Những thông tin này có thể là bất cứ điều gì, từ tên người dùng, màu sắc yêu thích cho đến sở thích và chế độ ăn uống của họ.

Cuộc tấn công này gây ra rủi ro bảo mật đáng kể ở chỗ, bằng cách làm hỏng bộ nhớ, nó cho phép các lệnh độc hại tồn tại trừ khi người dùng điều hướng rõ ràng đến phần cài đặt và xóa chúng. Khi làm như vậy, nó biến một tính năng hữu ích thành một vũ khí lợi hại có thể bị lợi dụng để chạy mã do kẻ tấn công cung cấp.

"Điều khiến lỗ hổng này trở nên đặc biệt nguy hiểm là nó nhắm vào bộ nhớ liên tục của AI, chứ không chỉ phiên trình duyệt", Michelle Levy, giám đốc nghiên cứu bảo mật tại LayerX Security, cho biết. "Bằng cách liên kết CSRF tiêu chuẩn với lệnh ghi bộ nhớ, kẻ tấn công có thể vô hình cài đặt các lệnh tồn tại trên nhiều thiết bị, phiên và thậm chí nhiều trình duyệt khác nhau."

"Trong các thử nghiệm của chúng tôi, một khi bộ nhớ của ChatGPT bị nhiễm độc, các lời nhắc 'bình thường' tiếp theo có thể kích hoạt việc truy xuất mã, leo thang đặc quyền hoặc đánh cắp dữ liệu mà không làm ảnh hưởng đến các biện pháp bảo vệ có ý nghĩa."


Cuộc tấn công diễn ra như sau:

    Người dùng đăng nhập vào ChatGPT
    Người dùng bị lừa khởi chạy một liên kết độc hại bằng kỹ thuật xã hội
    Trang web độc hại kích hoạt yêu cầu CSRF, lợi dụng việc người dùng đã được xác thực để đưa các hướng dẫn ẩn vào bộ nhớ của ChatGPT mà họ không hề hay biết
    Khi người dùng truy vấn ChatGPT cho mục đích hợp pháp, các ký ức bị nhiễm độc sẽ được gọi, dẫn đến thực thi mã

Các chi tiết kỹ thuật bổ sung để thực hiện cuộc tấn công đã được giữ kín. LayerX cho biết vấn đề trở nên trầm trọng hơn do ChatGPT Atlas thiếu các biện pháp kiểm soát chống lừa đảo mạnh mẽ, công ty bảo mật trình duyệt này cho biết thêm rằng điều này khiến người dùng dễ bị tấn công hơn tới 90% so với các trình duyệt truyền thống như Google Chrome hoặc Microsoft Edge.

Trong các thử nghiệm với hơn 100 lỗ hổng bảo mật web và các cuộc tấn công lừa đảo trực tuyến, Edge đã ngăn chặn được 53% trong số đó, tiếp theo là Google Chrome với 47% và Dia với 46%. Ngược lại, Comet và ChatGPT Atlas của Perplexit chỉ ngăn chặn được 7% và 5,8% các trang web độc hại.

Điều này mở ra cánh cửa cho nhiều kịch bản tấn công khác nhau, bao gồm cả kịch bản mà nhà phát triển yêu cầu ChatGPT viết mã có thể khiến tác nhân AI chèn các hướng dẫn ẩn như một phần của nỗ lực viết mã rung cảm.

Sự phát triển này diễn ra sau khi NeuralTrust chứng minh một cuộc tấn công chèn mã độc nhanh chóng ảnh hưởng đến ChatGPT Atlas, nơi omnibox của nó có thể bị bẻ khóa bằng cách ngụy trang một lời nhắc độc hại thành một URL dường như vô hại để truy cập. Sự việc này cũng diễn ra sau một báo cáo cho thấy các tác nhân AI đã trở thành phương tiện đánh cắp dữ liệu phổ biến nhất trong môi trường doanh nghiệp.

"Các trình duyệt AI đang tích hợp ứng dụng, danh tính và trí tuệ nhân tạo vào một bề mặt đe dọa AI duy nhất", Eshed nói. "Các lỗ hổng như 'Ký ức bị ô nhiễm' là chuỗi cung ứng mới: chúng di chuyển cùng người dùng, làm ô nhiễm công việc trong tương lai và làm mờ ranh giới giữa tự động hóa AI hữu ích và kiểm soát bí mật."

"Khi trình duyệt trở thành giao diện chung cho AI và khi các trình duyệt tác nhân mới đưa AI trực tiếp vào trải nghiệm duyệt web, các doanh nghiệp cần coi trình duyệt là cơ sở hạ tầng quan trọng, vì đó là ranh giới tiếp theo của năng suất và công việc AI."