A Tenable revelou novas vulnerabilidades no ChatGPT que expõem utilizadores a roubo de dados, manipulação de memórias e execução de código malicioso através de sites aparentemente legítimos
|
Investigadores da Tenable descobriram sete vulnerabilidades e técnicas de ataque exploráveis no ChatGPT, capazes de permitir a exfiltração e injeção de dados, manipulação de memórias do utilizador e até o redirecionamento para sites de phishing. Algumas das falhas, alertam, permanecem ativas mesmo no modelo GPT-5. Os ataques exploram funcionalidades centrais do sistema, incluindo o recurso de memórias, onde estão guardadas as preferências e detalhes dos utilizadores. Outro recurso é o open_url, que permite aceder a websites através do SearchGPT, bem como o endpoint url_safe, responsável por validar a segurança dos endereços apresentados. De acordo com os investigadores, o ChatGPT pode ser induzido a executar prompts maliciosos escondidos em páginas web ou até na secção de comentários de sites. Quando um utilizador pede ao ChatGPT para resumir o conteúdo de uma página, o SearchGPT analisa o site e processa instruções injetadas por terceiros. Na prática, basta que um atacante insira um prompt invisível numa página para que o modelo execute código malicioso a pedido de um utilizador legítimo. A Tenable revela ainda que não é necessário que o utilizador forneça o URL comprometido, uma vez que basta que o atacante crie um site otimizado para aparecer nos resultados de pesquisa. Os testes realizados com um domínio falso chamado LLM Ninjas confirmaram que o ChatGPT podia ser manipulado para aceder e executar instruções maliciosas sem gerar qualquer alerta. Há ainda um vetor mais direto, uma vez que basta convencer o utilizador a abrir um link no formato chatgpt.com/?q={prompt}; o ChatGPT interpreta automaticamente o valor de 'q' como instrução e executa-a, permitindo a injeção imediata de prompts maliciosos. Os investigadores descobriram que o endpoint url_safe considera o domínio bing.com como seguro, o que pode ser explorado para contornar verificações e exfiltrar dados através de URL intermédias do Bing. Estas URL de redirecionamento podem ser utilizadas para levar utilizadores a sites de phishing ou para extrair informação sensível, incluindo memórias e histórico de conversas. Na injeção na sessão de chat, a Tenable mostrou como pode ser usada para manipular respostas do SearchGPT de modo a incluir prompts ocultos. Embora a resposta maliciosa fosse, em princípio, visível, os atacantes podem escondê-la através de blocos de código, o que torna a manipulação invisível ao utilizador. Com estas vulnerabilidades combinadas, os investigadores conseguiram criar ataques de ponta a ponta, desde a leitura de páginas comprometidas até ao redirecionamento para sites de phishing e exfiltração de memórias pessoais. Em alguns cenários, as próprias memórias do utilizador eram adulteradas, permitindo que o chatbot armazenasse instruções que o levavam a continuar a enviar dados para endereços externos. Apesar de a OpenAI ter sido notificada e ter corrigido parte das falhas, a Tenable considera que a injeção imediata vai continuar a ser um problema estrutural dos LLM. |
Receba todas as novidades na sua caixa de correio!
