Katarzyna Petru
Badacze z obszaru cyberbezpieczeństwa wykryli poważną lukę w przeglądarce ChatGPT Atlas, opracowanej przez OpenAI — exploit umożliwia atakującym wstrzyknięcie złośliwych instrukcji do pamięci AI i uruchamianie dowolnego kodu.
Co się dokładnie dzieje?
W skrócie:
Funkcja „pamięci” w ChatGPT – umożliwiająca chatbotowi zapamiętywanie informacji o użytkowniku pomiędzy sesjami – staje się celem ataku.
Atak opiera się na technice typu CSRF (Cross-Site Request Forgery): użytkownik zalogowany do ChatGPT zostaje nakłoniony (np. przez link w mailu) do odwiedzenia złośliwej strony, która wysyła ukrytą prośbę o wpisanie instrukcji do pamięci ChatGPT.
Po takim „zainfekowaniu” pamięci użytkownika, każda kolejna interakcja z botem (w tym w przeglądarce Atlas) może wykorzystać te ukryte instrukcje, prowadząc np. do eskalacji uprawnień, kradzieży danych, czy wykonania kodu.
Co więcej: ponieważ pamięć jest powiązana z kontem, a nie wyłącznie z przeglądarką czy urządzeniem, zainfekowane instrukcje mogą przechodzić między urządzeniami i sesjami.
Dlaczego przeglądarka Atlas jest w tym przypadku szczególnie narażona?
Atlas jest szczególnie podatny, bo często działa z kontem ChatGPT w tle — użytkownik jest domyślnie zalogowany, więc wystarczy kliknięcie złośliwego linku, by strona wykonała akcję w jego imieniu bez dodatkowej autoryzacji. Badania LayerX wskazują, że mechanizmy anty-phishingowe Atlasa radzą sobie znacznie gorzej niż te w Chrome czy Edge, więc wiele złośliwych stron przechodzi niezauważonych.
Dodatkowo funkcje takie jak „agent mode” i zapisywanie browser memories upraszczają pracę, ale jednocześnie powiększają powierzchnię ataku — zamiast jednorazowej akcji atakujący może „zaszczepić” ukrytą instrukcję w pamięci konta, która będzie aktywna przy późniejszych, normalnie wyglądających zapytaniach, co prowadzi do trwałego zanieczyszczenia środowiska użytkownika.
Co to oznacza dla użytkowników i firm?
Dla użytkowników i firm oznacza to, że wystarczy jedno kliknięcie w złośliwy link, by atakujący mógł trwale „zaszczepić” złośliwe dane w pamięci konta ChatGPT. Od tego momentu nawet pozornie zwykłe zapytania mogą uruchamiać niepożądane działania, jak kradzież danych czy modyfikacje treści.
Dlatego ChatGPT Atlas powinien być traktowany jak element infrastruktury krytycznej – łączy bowiem aplikacje, tożsamość i inteligencję w jednej przestrzeni. Nawet jeśli ktoś nie korzysta z Atlasa, problem pokazuje, że funkcje pamięci w systemach AI otwierają nowy wektor ataku. Warto więc ograniczyć zapisywanie pamięci, uważnie sprawdzać linki i oddzielać konta prywatne od służbowych, dopóki luka nie zostanie w pełni załatana.
Choć exploit zaprezentowany przez LayerX wygląda realnie i groźnie — trzeba zaznaczyć, że pełne techniczne detale nie zostały ujawnione (by uniknąć łatwej reprodukcji ataku).
Z drugiej strony: fakt, że atak dotyka nie tylko przeglądarki jako takiej, ale pamięci AI zintegrowanej z kontem użytkownika — oznacza, że model bezpieczeństwa dla przeglądarek AI wymaga nowego podejścia.
jeśli jesteście świadomymi użytkownikami lub pracujecie w jakiejś organizacji, traktujcie Atlas i podobne przeglądarki jako wersję „early access” z wyższym ryzykiem — i stosujcie środki ostrożności, aż rynek i producenty pójdą za nimi.
