Istraživači kompanije Tenable nedavno su otkrili sedam novih ranjivosti i napadačkih tehnika u ChatGPT-u koje se mogu iskoristiti za krađu podataka i druge maliciozne aktivnosti.
Napadi su povezani sa više funkcija unutar sistema. Jedna od njih je funkcija bio, poznata i kao memories, koja omogućava ChatGPT-u da pamti korisničke podatke i preferencije kroz različite sesije razgovora.
Druga funkcija je open_url, komandna funkcija kojom AI model pristupa i prikazuje sadržaj sa određene internet adrese. Ova funkcija koristi SearchGPT — poseban LLM model namijenjen pretraživanju interneta, koji ima ograničene mogućnosti i nema pristup korisničkim memorijama. SearchGPT pronalazi informacije na internetu, a zatim ih prosleđuje ChatGPT-u koji ih analizira i prikazuje korisniku.
Istraživači su takođe ispitali url_safe endpoint, mehanizam koji provjerava da li je neka internet adresa bezbjedna prije nego što se prikaže korisniku.
Prvo otkriće pokazalo je da, kada se ChatGPT zatraži da sumira sadržaj određene stranice, SearchGPT analizira sajt i izvršava sve AI instrukcije koje pronađe na njemu — uključujući i one ubačene u sekciju komentara. To omogućava napadaču da ubaci maliciozne promptove u popularne sajtove koje korisnici često traže da ChatGPT sažme.
Stručnjaci Tenable-a pokazali su i da korisnik ne mora čak ni unijeti URL sajta koji sadrži maliciozne instrukcije. Napadači mogu kreirati novi sajt koji će se pojavljivati u rezultatima pretrage za određene nišne teme. ChatGPT se oslanja na Bing i OpenAI-jev crawler za web pretragu.
U jednom eksperimentu, Tenable je postavio “maliciozni” sajt nazvan LLM Ninjas. Kada je ChatGPT upitan za informacije o toj temi, SearchGPT je automatski posjetio sajt i izvršio skriveni prompt ubačen na njemu.
Još jednostavnija metoda, prema Tenable-u, uključivala je prevaru korisnika da otvori link u formatu chatgpt.com/?q={prompt}. Sve što je sadržano u parametru q, uključujući maliciozne instrukcije, automatski bi se izvršilo kada bi korisnik kliknuo na link.
Tenable je otkrio i da url_safe endpoint uvijek tretira bing.com kao bezbjednu domenu. Hakeri mogu to iskoristiti da kroz posebno izrađene Bing URL-ove iznesu korisničke podatke. Napadač može i navesti korisnika da posjeti fišing sajt koristeći Bing click-tracking linkove — duge adrese koje služe kao posrednik između rezultata pretrage i krajnje odredišne stranice.
Iako SearchGPT nema pristup korisničkim podacima, istraživači su otkrili tehniku nazvanu conversation injection, kojom se SearchGPT navodi da ChatGPT-u prosledi odgovor koji sadrži prompt spreman za izvršavanje.
Problem je bio u tome što je takav maliciozni prompt bio vidljiv korisniku, ali Tenable je pronašao način da se to sakrije — dodavanjem prompta unutar code blocka, čime se sprječava prikaz sadržaja koji se nalazi na istom redu sa otvaranjem koda.
Istraživači su uspjeli da povežu ove ranjivosti u niz složenih napada. U jednom primjeru, korisnik traži od ChatGPT-a da sumira blog na kojem je napadač ubacio maliciozni prompt u komentare. SearchGPT zatim posjećuje sajt, što pokreće prompt injekciju i dovodi do toga da korisnik bude naveden da klikne na fišing link. Korišćenjem posrednog Bing URL-a, napadač može zaobići url_safe provjeru.
U drugom primjeru, isti mehanizam se koristi za iznošenje korisničkih podataka — uključujući memorije i istoriju razgovora — putem posebno izrađenih URL-ova.
Tenable je otkrio da memorije nisu samo ranjive na krađu, već i na ubacivanje novih. Istraživači su demonstrirali kako se prompt injekcijom može dodati nova memorija koja ChatGPT-u nalaže da ubuduće iznosi korisničke podatke koristeći url_safe zaobilaznicu preko Bing URL-ova.
OpenAI je obaviješten o nalazima i već je ispravio dio ranjivosti, ali prompt injekcija ostaje fundamentalni bezbjednosni izazov za LLM modele. Tenable je naveo da pojedine metode i dalje funkcionišu — čak i protiv najnovijeg GPT-5 modela.
Izvor: SecurityWeek