OpenAI Atlas 浏览器漏洞详情
OpenAI 新推出的 ChatGPT Atlas 浏览器存在一项严重漏洞,攻击者可借此向 ChatGPT 的内存中注入恶意指令,并在用户系统上执行远程代码。
该漏洞由 LayerX 发现,利用跨站请求伪造(CSRF)技术劫持已验证会话,可能导致设备感染恶意软件或被未授权访问。这一发现凸显了智能体化 AI 浏览器的风险升级 —— 集成的大语言模型(LLM)会放大传统网络威胁。
该漏洞已通过负责任披露协议告知 OpenAI,所有浏览器环境中的 ChatGPT 用户均受影响,但 Atlas 用户面临的风险更高。原因在于其持续在线的验证机制和薄弱的钓鱼防护能力。
LayerX 的测试显示,Atlas 仅能拦截 5.8% 的钓鱼攻击,而 Chrome 和 Edge 的拦截率为 47% 至 53%,这使得 Atlas 用户的暴露风险最高可达 90%。尽管 OpenAI 尚未公开补丁细节,但专家呼吁立即采取缓解措施,例如加强令牌验证。
CSRF 如何针对 ChatGPT 内存攻击
攻击的前提是用户已登录 ChatGPT,且浏览器中存储了验证 Cookie 或令牌。攻击者通过钓鱼链接诱使受害者访问恶意网页,该网页随后利用现有会话发起 CSRF 请求。
这一伪造请求会向 ChatGPT 的 记忆功能注入隐藏指令。该功能的设计初衷是保留用户偏好和会话上下文,避免用户重复输入。
与未授权交易等标准 CSRF 攻击后果不同,这种变体攻击通过污染大语言模型的持久化 “潜意识” 来针对 AI 系统。
恶意指令嵌入后,会在用户发起合法查询时激活,迫使 ChatGPT 生成有害输出 —— 例如从攻击者控制的服务器获取远程代码。这种感染会在该账号关联的所有设备和浏览器中持续存在,增加了检测和修复的难度。
Atlas 默认自动登录 ChatGPT 的机制使凭证随时可用,无需额外的令牌钓鱼步骤,从而简化了 CSRF 攻击的实施。
LayerX 在 103 起真实攻击场景中对 Atlas 进行了测试,发现 94.2% 的攻击均成功得逞,远逊于同类产品 —— 例如此前测试中 Perplexity 的 Comet 浏览器失败率为 93%。这一结果源于 Atlas 缺乏内置防护机制,使其成为提示注入等 AI 专属威胁的主要传播载体。
更广泛的研究也印证了这一担忧:Brave 对包括 Atlas 在内的 AI 浏览器的分析发现,存在通过网页或截图嵌入指令的间接提示注入攻击,可能导致数据泄露或未授权操作。
OpenAI 的代理功能允许自主任务,由于授予人工智能对用户数据和系统的决策权而加剧了风险。
概念验证:恶意 vibe 编码
在一个演示场景中,攻击者针对 vibe 编码发起攻击。这种编程模式下,开发者与 AI 协作聚焦于高层级的项目意图,而非严格的语法规则。
注入的内存指令会巧妙篡改 AI 输出,在生成的脚本中嵌入后门或数据泄露代码 —— 例如从 “server.rapture” 等服务器下载恶意软件。
ChatGPT 可能会发出微弱警告,但复杂的伪装技术通常能规避这些警告,使受污染的代码无缝交付。用户下载此类脚本后,其系统可能被入侵,这也凸显了 AI 的灵活性可能被滥用的风险。
该概念验证与 Gemini 等工具中新兴的漏洞一致,其中类似的注入会访问共享的公司数据。
随着 AI 浏览器的普及,此类漏洞需要超越基础浏览器技术的强效防护措施。企业应优先采用具备可见性的第三方扩展程序,用户则应启用多因素认证并监控会话状态。
LayerX 的研究结果表明,若不及时更新修复,Atlas 可能会重新定义 AI 安全的典型陷阱。
3003.com官网-