LayerX Securityは10月27日(現地時間)、「“ChatGPT Tainted Memories:” LayerX Discovers The First Vulnerability in OpenAI Atlas Browser, Allowing Injection of Malicious Instructions into ChatGPT - LayerX」において、OpenAIが開発したAI搭載Webブラウザ「ChatGPT Atlas」から初の脆弱性を発見したと報じた。

この脆弱性を悪用すると、遠隔からChatGPTに悪意のある命令を挿入し、特権昇格やマルウェアの展開が可能とされる。

  • “ChatGPT Tainted Memories:” LayerX Discovers The First Vulnerability in OpenAI Atlas Browser、Allowing Injection of Malicious Instructions into ChatGPT - LayerX

    “ChatGPT Tainted Memories:” LayerX Discovers The First Vulnerability in OpenAI Atlas Browser, Allowing Injection of Malicious Instructions into ChatGPT - LayerX

攻撃手順

LayerX Securityが発見した脆弱性は、ChatGPTを利用するすべてのWebブラウザに影響を及ぼすという。その中でも「ChatGPT Atlas(以下、Atlas)」はフィッシング耐性が低く、他のWebブラウザよりも影響を受けやすいとされる。

攻撃手順の概要は次のとおり。

  • 被害者がChatGPTにログインする。Webブラウザには認証Cookieまたはトークンが保持される
  • 被害者が悪意のあるリンクをクリックし、侵害されたWebサイトに遷移する
  • 侵害されたWebサイトは認証済みのChatGPTに対して、悪意のあるリクエストを送信する
  • ChatGPTはリクエストを処理し、指示をメモリに蓄積する
  • 被害者がChatGPTに戻りクエリを送信すると、攻撃者の指示が機能し、悪意のあるコードが実行される可能性がある
  • 攻撃手順 - 引用:LayerX

    攻撃手順 引用:LayerX

脆弱性の概要

この脆弱性はクロスサイトリクエストフォージェリー(CSRF: Cross-Site Request Forgery)に分類される。サービス利用者をログインによって識別するシステムにおいて、リクエストの送信者を正しく検出できない脆弱性とされる。このようなシステムは、外部サイトを介する悪意のあるリクエストを受け入れる可能性がある(参考:「安全なウェブサイトの作り方 - 1.6 CSRF(クロスサイト・リクエスト・フォージェリ) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構」)。

LayerX Securityはサンドボックスへの影響を明らかにしておらず、ローカル環境への直接の攻撃を指示できるかは定かでない。同社が公開した攻撃のサンプル動画では、スクリプトの生成時に悪意のあるコードを潜り込ませ、そのコードを実行することでマルウェアに感染させている。

これはOpenAIのWebサービスの脆弱性であり、Atlasに依存した脆弱性とは評価できない。しかしながら、LayerX SecurityはAtlasの脆弱性と発表しており、未公開の悪用手段が存在する可能性がある。

ユーザーによる対処は難しい

同社は影響範囲が広いとして警鐘を鳴らしている。この攻撃はChatGPTメモリを汚染し、将来の利用において攻撃が具現化する仕組みとなっている。ChatGPTメモリは手動で削除するまでサーバ側で保持されるため、被害者が他のデバイスでChatGPTを利用すると、同じ攻撃が繰り返されることになる(参考:「ChatGPT のメモリと新しいコントロール | OpenAI」)。

クロスサイトリクエストフォージェリーはWebサービスの提供者が対策を実施する必要がある。利用者による対策は難しく、OpenAIによる脆弱性の修正を待たなければならない。OpenAIにはWebサービスの修正に加え、Atlasのセキュリティ機能を強化することが望まれている。