OpenAI’nin yeni başlatılan ChatGPT Atlas tarayıcısındaki kritik bir güvenlik açığı, saldırganların ChatGPT belleğine kötü amaçlı talimatlar yerleştirmesine ve kullanıcı sistemlerinde uzaktan kod yürütmesine olanak tanıyor.
LayerX tarafından ortaya çıkarılan bu kusur, kimliği doğrulanmış oturumları ele geçirmek için Siteler Arası İstek Sahteciliği’nden (CSRF) yararlanıyor, potansiyel olarak cihazlara kötü amaçlı yazılım bulaştırıyor veya yetkisiz erişim sağlıyor. Bu keşif, entegre LLM’lerin geleneksel web tehditlerini güçlendirdiği aracı yapay zeka tarayıcılarında artan riskleri vurguluyor.
Sorumlu açıklama protokolleri kapsamında OpenAI’ye bildirilen güvenlik açığı, farklı tarayıcılardaki ChatGPT kullanıcılarını etkiliyor ancak her zaman açık kimlik doğrulaması ve zayıf kimlik avı savunması nedeniyle Atlas’ı benimseyen kişiler için daha büyük tehlikeler oluşturuyor.
LayerX’in testleri, Atlas’ın kimlik avı girişimlerinin yalnızca %5,8’ini engellediğini, buna karşılık Chrome ve Edge’in %47-53’ünü engellediğini ve kullanıcılarının %90’a kadar daha fazla saldırıya maruz kaldığını ortaya çıkardı. OpenAI’nin yamaları herkese açık olarak ayrıntılı şekilde açıklanmasa da uzmanlar, gelişmiş token doğrulama gibi acil önlemlerin alınmasını öneriyor.
CSRF, ChatGPT Belleğini Nasıl Hedefliyor?
Saldırı, bir kullanıcının ChatGPT’ye giriş yapması ve kimlik doğrulama çerezlerini veya belirteçlerini tarayıcısında saklamasıyla başlar. Saldırganlar, kimlik avı bağlantıları aracılığıyla kurbanları kötü amaçlı bir web sayfasına yönlendirir ve bu bağlantılar, mevcut oturumdan yararlanarak bir CSRF isteğini tetikler.
Bu sahte istek, gizli talimatları ChatGPT’nin “Bellek” özelliğine enjekte eder; bu özellik, oturumlar boyunca kullanıcı tercihlerini ve bağlamı açık bir tekrarlama olmadan korumak için tasarlanmıştır.
Yetkisiz işlemler gibi standart CSRF etkilerinin aksine, bu varyant, LLM’nin kalıcı “bilinçaltını” lekeleyerek AI sistemlerini hedef alır.
Kötü niyetli direktifler bir kez yerleştirildikten sonra meşru sorgular sırasında etkinleşerek ChatGPT’yi saldırganın kontrol ettiği sunuculardan uzaktan kod getirme gibi zararlı çıktılar üretmeye zorlar. Enfeksiyon, hesaba bağlı cihazlar ve tarayıcılar arasında devam ediyor, bu da tespit ve düzeltmeyi zorlaştırıyor.
Ekteki diyagram, kimlik bilgilerinin ele geçirilmesinden hafıza enjeksiyonuna ve uzaktan yürütmeye kadar saldırı akışını göstermektedir.
Atlas’ın ChatGPT’de varsayılan oturum açma özelliği, kimlik bilgilerinin hazır bulundurulmasını sağlar ve ek kimlik avı olmadan CSRF istismarını kolaylaştırır.
LayerX, Atlas’ı 103 gerçek dünya saldırısına karşı değerlendirdi ve %94,2’lik bir başarıya izin verdiğini tespit etti; bu, önceki testlerde %93 başarısız olan Perplexity’s Comet gibi rakiplerden çok daha kötüydü. Bu, yerleşik korumaların bulunmamasından kaynaklanıyor ve tarayıcıyı, hızlı enjeksiyon gibi yapay zekaya özgü tehditler için birincil bir vektöre dönüştürüyor.
Daha geniş araştırmalar bu endişeleri yansıtıyor; Brave’in Atlas da dahil olmak üzere yapay zeka tarayıcıları üzerinde yaptığı analiz, web sayfalarına veya ekran görüntülerine komutlar yerleştiren ve veri hırsızlığına veya yetkisiz eylemlere yol açan dolaylı bilgi istemi enjeksiyonlarını açığa çıkardı.
OpenAI’nin özerk görevlere izin veren aracı özellikleri, yapay zekaya kullanıcı verileri ve sistemleri üzerinde karar verme gücü vererek riskleri artırıyor.
Kavram Kanıtı: Kötü Amaçlı ‘Vibe Kodlaması’
Gösterilen bir senaryoda, saldırganlar, geliştiricilerin katı sözdizimi yerine yüksek düzey proje amaçları konusunda yapay zeka ile işbirliği yaptığı “titreşim kodlamayı” hedef alıyor.
Yerleştirilen bellek talimatları, “server.rapture” gibi bir sunucudan kötü amaçlı yazılım çekmek gibi, oluşturulan komut dosyalarına arka kapılar veya sızma kodları yerleştirerek çıktıları ustaca değiştirir.
ChatGPT incelikli uyarılar verebilir, ancak gelişmiş maskeleme çoğu zaman bu uyarıları atlatır ve kusurlu kodun sorunsuz bir şekilde iletilmesine olanak tanır. Bu komut dosyalarını indiren kullanıcılar, sistemin tehlikeye girmesi riskini taşıyor ve yapay zeka esnekliğinin nasıl kötüye kullanıma davetiye çıkardığının altını çiziyor.
Bu PoC, benzer enjeksiyonların paylaşılan kurumsal verilere eriştiği Gemini gibi araçlarda ortaya çıkan istismarlarla uyumludur.
Yapay zeka tarayıcıları çoğaldıkça bunun gibi güvenlik açıkları, temel tarayıcı teknolojisinin ötesinde güçlü korumalar gerektirir. Kuruluşlar görünürlük için üçüncü taraf uzantılara öncelik verirken, kullanıcılar da çok faktörlü kimlik doğrulamayı etkinleştirmeli ve oturumları izlemelidir.
LayerX’in bulguları, hızlı güncellemeler olmadan Atlas’ın yapay zeka güvenlik sorunlarını yeniden tanımlayabileceğini güçlendiriyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
