שבוע בלבד אחרי ש-OpenAI הציגה את ChatGPT Atlas - הדפדפן האייג'נטי הראשון שלה, שמאחד את הבינה המלאכותית לתוך חוויית הגלישה - נחשפה בו פירצת אבטחה חמורה שמאפשרת לתוקפים להשתלט על חשבונות משתמשים ולהריץ קוד מרחוק. את הפרצה חשפו חוקרי הסייבר של חברת LayerX Security, שקבעו כי מדובר באחת החולשות הראשונות מסוגן שמשפיעות על זיכרון ה-AI של ChatGPT, ומאפשרות הזרקת הוראות זדוניות ש"נצרבות" בזיכרון ונקראות מחדש בעת שימוש עתידי.
Atlas, שהושק לפני כשבוע למשתמשי macOS וצפוי להגיע בקרוב גם ל-Windows, iOS ואנדרואיד, מייצג את הניסיון של OpenAI להתמודד ישירות מול גוגל ו-Chrome. זהו דפדפן שמבוסס על שילוב מלא של ChatGPT בתוכו: כל שדה טקסט הופך לשער לעוזר ה-AI, וכל לשונית חדשה מתחילה בפרומפט פתוח לצ'אט. הדפדפן זוכר את ההרגלים והעדפות המשתמש כדי להציע חוויה מותאמת אישית, ומאפשר ל-ChatGPT לפעול במצב "סוכן" - לבצע פעולות בשם המשתמש, כמו הזמנת טיסות, עריכת מסמכים או ניהול משימות.
אבל לפי LayerX, דווקא הלב של Atlas - תכונת הזיכרון - הוא גם מקור הסיכון. החוקרים גילו דרך לנצל את מנגנון הזיכרון כדי להחדיר אליו הוראות זדוניות, שיכולות להפעיל קוד מרחוק ולפתוח לתוקף גישה למידע רגיש, לקוד כתוב, ואף למערכות ארגוניות.
ההתקפה מבוססת על טכניקת CSRF (Cross-Site Request Forgery): המשתמש, שכבר מחובר לחשבון ChatGPT בדפדפן, לוחץ על קישור מזויף שמוביל לדף תוקף. הדף מנצל את ההרשאות הקיימות כדי להזריק "זיכרונות" מזוהמים ל-ChatGPT - מבלי שהמשתמש ירגיש. בפעמים הבאות שיפעיל את הצ'אט, ChatGPT יקרא את ההוראות המושתלות ויבצע פעולות שעלולות לאפשר לתוקף שליטה מרחוק.
לפי נתוני LayerX, Atlas נכשל ב-97 מתוך 103 ניסויי תקיפה - שיעור כישלון של 94.2%. לשם השוואה, Edge חסם 53% מהתקפות הפישינג ו-Chrome כ-47%. הסיבה, אומרים החוקרים, היא היעדר מוחלט כמעט של הגנות אנטי-פישינג באטלס. בנוסף, מאחר שהדפדפן שומר את זיכרון המשתמש בענן, כל זיהום כזה נשאר פעיל גם כשנכנסים לאותו חשבון ממכשירים ודפדפנים אחרים - מה שהופך את הפגיעה ל"מדבקת" במיוחד.
אור אשד, מנכ"ל ושותף מייסד ב-LayerX, הסביר: "מה שנועד להפוך את ChatGPT לאישי וחכם יותר - הזיכרון - יכול באותה מידה להפוך אותו לכלי תקיפה. מדובר במתקפה שמנצלת את היתרון של AI, ומסיטה אותו נגד המשתמש".
LayerX, שהוקמה ב-2022 ומספקת הגנות לארגוני Fortune 100, דיווחה את הממצאים ל-OpenAI במסגרת Responsible Disclosure. החברה ממליצה למשתמשים לנקוט משנה זהירות בלחיצה על קישורים חשודים, ולנטר פעילות חריגה עד שיתפרסם עדכון אבטחה רשמי לאטלס.