聚焦源代码安全,网罗国内外最新资讯!
LayerX 安全公司的联合创始人兼首席执行官 Or Eshed 表示,“该利用可导致攻击者用恶意代码感染系统、获得访问权限或部署恶意软件。”该攻击本质上利用一个跨站请求伪造 (CSRF) 漏洞,将恶意指令注入 ChatGPT 的持久性记忆中。之后损坏的记忆在设备和会话中持久存在,导致攻击者在已登录用户尝试合法使用 ChatGPT 时实施各种操作,如控制用户账户、浏览器或联网系统。
ChatGPT 的“记忆”功能由 OpenAI 公司首次在2024年2月推出,旨在助力 ChatGPT 记住聊天之间的有用详情,从而使其回应更具个性化和相关性,包括用户姓名及其最喜欢的颜色、兴趣爱好和饮食偏好等。
此次攻击构成了重大的安全风险:除非用户主动进入设置界面手动删除,否则通过污染记忆区间,恶意指令会持续存在。这种攻击手段将原本实用的功能转化为强大武器,使攻击者能够运行自行注入的代码。LayerX Security 公司的安全研究负责人 Michelle Levy 提到,"该漏洞尤其危险,是因为它瞄准了AI的持久记忆系统,而不仅是浏览器会话层。通过将标准的CSRF攻击与记忆写入操作串联,攻击者能悄无声息地将持续生效的指令植入设备、会话甚至浏览器中。在我们的测试中,一旦ChatGPT的记忆遭到污染,后续看似正常的对话指令就可能触发代码获取、权限提升或数据窃取等操作,且不会触发有效的安全防护机制。"
该攻击的具体流程如下:
用户登录ChatGPT账户
通过社会工程学手段诱导用户点击恶意链接
恶意网页随即触发CSRF(跨站请求伪造)请求,利用用户已通过身份验证的权限,在用户毫无察觉的情况下向ChatGPT记忆模块注入隐藏指令。
当用户后续进行正常查询时,被污染的记忆将被激活,最终导致代码执行。
出于安全考虑,攻击所需的附加技术细节暂未公开。LayerX公司指出,ChatGPT Atlas浏览器缺乏有效的反网络钓鱼控制机制,使得用户遭受攻击的风险较使用谷歌Chrome或微软Edge等传统浏览器高出90%。在针对100多个真实网络漏洞和钓鱼攻击的测试中,Edge浏览器成功拦截了53%的威胁,Chrome为47%,Dia为46%;而Perplexit的Comet和ChatGPT Atlas分别仅拦截了7%和5.8%的恶意网页。这种安全缺陷为多种攻击场景敞开了大门,例如当开发者要求ChatGPT编写代码时,AI代理可能会在代码生成过程中暗中插入隐藏指令。
与此同时,NeuralTrust安全团队展示了针对ChatGPT Atlas的提示注入攻击:通过将恶意指令伪装成无害访问网址,可成功突破其统一地址栏的安全限制。另有报告表明,AI代理已成为企业环境中最常见的数据泄露渠道。
"AI浏览器正在将应用程序、身份验证和智能功能整合成统一的AI攻击面,"Eshed表示,"类似'记忆污染'的漏洞正在构成新型供应链:它们随用户移动、污染后续工作流程,模糊了有益的AI自动化与隐蔽控制之间的界限。随着浏览器成为AI的通用交互界面,以及新型智能浏览器将AI直接嵌入浏览体验,企业必须将浏览器视为关键基础设施——这既是AI驱动生产力的前沿阵地,也是下一代攻防对抗的核心战场。"
ChatGPT 代理中的零点击漏洞可导致Gmail敏感数据被盗
LegalPwn:利用法律免责条款,操纵ChatGPT等主流AI工具执行恶意代码
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~