Atlas, browser basato su ChatGPT, consente l'injection di comandi malevoli

Atlas, browser basato su ChatGPT, consente l’injection di comandi malevoli

Ott 29, 2025 Marina Londei In evidenza, Minacce, News, RSS, Vulnerabilità 0

I ricercatori di LayerX hanno scoperto una vulnerabilità in Atlas, il browser basato su ChatGPT, che consente di iniettare comandi malevoli direttamente nel chatbot e di conseguenza elevare i propri privilegi sul sistema colpito e distribuire malware.

La compagnia spiega che in realtà il bug è presente su ChatGPT in qualsiasi browser, ma è particolarmente pericoloso quando si naviga con Atlas: gli utenti del browser sono loggati di default sul chatbot e Atlas ha alcune mancanze dal punto di vista della sicurezza che lo rendono particolarmente esposto agli attacchi di phishing.

Il flusso di attacco comincia quando l’utente, loggato su ChatGPT, clicca su un link malevolo inviato dall’attaccante che lo rimanda a una pagina compromessa creata ad hoc. La pagina web usa la Cross-Site Request Forgery (CSRF) per sfruttare il token di autenticazione dell’utente in modo da iniettare istruzioni malevole nel chatbot, alterando di fatto la memoria dell’LLM. Non appena l’utente effettua una nuova richiesta a ChatGPT, la memoria “contaminata” viene invocata e consente all’attaccante di eseguire istruzioni malevole sul sistema target.

“In molti casi, l’impatto di un attacco CSFR viene usato per attività quali la modifica dell’email/password dell’account, il trasferimento di fondi o per fare acquisti all’interno della sessione utente. Quando però si tratta di sistemi di IA, usando un attacco CSFR gli attaccanti ottengono l’accesso ai sistemi dove l’utente è loggato, mandando richieste e iniettando comandi malevoli” ha spiegato Or Eshed, CEO e co-fondatore di LayerX.

Credits: LayerXLa “memoria” del chatbot viene usata per memorizzare dettagli sulle richieste dell’utente, le chat, le sue preferenze e i vincoli che ha imposto per le sue ricerche. Ogni volta che l’utente effettua una richiesta, la memoria viene acceduta per reperire queste informazioni; manipolandola, l’attaccante può iniettare istruzioni malevole che verranno eseguite in ogni chat.

Questo attacco è molto insidioso perché, una volta alterata la memoria di ChatGPT, queste istruzioni permangono a prescindere dal dispositivo che sta usando l’utente e anche dal browser. Come riportato prima, però, Atlas è particolarmente a rischio perché, essendo basato su ChatGPT, memorizza sempre le credenziali e quindi è più esposto agli attacchi CSRF.

Il problema è esacerbato anche dalla mancanza di controlli per il phishing di Atlas: LayerX ha riportato che, rispetto a browser come Chrome o Edge, Atlas è più vulnerabile del 90% ad attacchi di phishing.

“Sebbene ChatGPT offra alcune difese contro le istruzioni dannose, l’efficacia può variare a seconda della sofisticatezza dell’attacco e del modo in cui le istruzioni malevole sono entrate nella memoria. In alcuni casi, l’utente potrebbe visualizzare un avviso; in altri, il tentativo potrebbe essere bloccato. Tuttavia, se abilmente mascherato, il codice potrebbe eludere completamente il rilevamento” ha aggiunto Eshed.

Al momento non è noto se OpenAI stia lavorando a un fix per il problema.

Condividi l'articolo