Công ty an ninh mạng LayerX đã công bố một lỗ hổng CVE nghiêm trọng trong trình duyệt ChatGPT Atlas của OpenAI, cho phép kẻ tấn công tiêm các chỉ thị độc hại vào bộ nhớ của ChatGPT và thực thi mã từ xa (remote code execution).

Lỗ hổng này gây ra rủi ro đáng kể cho người dùng trên mọi trình duyệt, nhưng đặc biệt nguy hiểm đối với những người đang sử dụng trình duyệt ChatGPT Atlas mới.

Bản chất Lỗ hổng: CSRF và Kỹ thuật Tiêm Nhiễm Bộ nhớ ChatGPT

Lỗ hổng khai thác một cuộc tấn công Cross-Site Request Forgery (CSRF) để xâm phạm người dùng ChatGPT. Kẻ tấn công có thể lợi dụng thông tin xác thực đăng nhập hiện có của nạn nhân để tiêm các chỉ thị độc hại vào tính năng bộ nhớ của trợ lý AI.

Khi người dùng tương tác với ChatGPT cho các mục đích hợp pháp sau đó, những ký ức bị nhiễm độc này sẽ kích hoạt và có thể thực thi mã từ xa.

Chuỗi Tấn công và Cơ chế Khai thác

Chuỗi tấn công bắt đầu khi người dùng đã đăng nhập vào ChatGPT nhấp vào một liên kết độc hại dẫn đến một trang web bị xâm phạm.

• Trang độc hại này thực thi một yêu cầu CSRF, khai thác phiên xác thực ChatGPT hiện có của người dùng.
• Mã khai thác sau đó bí mật tiêm các chỉ thị ẩn vào bộ nhớ của ChatGPT, làm nhiễm độc mô hình ngôn ngữ cốt lõi mà người dùng không hề hay biết.
• Trong truy vấn ChatGPT tiếp theo, những ký ức bị nhiễm độc này kích hoạt, cho phép triển khai mã độc hại.

Vai trò của Tính năng Bộ nhớ ChatGPT

Tính năng Bộ nhớ của ChatGPT, được thiết kế để ghi nhớ các tùy chọn, dự án và ghi chú phong cách của người dùng qua các cuộc trò chuyện, trở thành một vector tấn công dai dẳng trong kịch bản này.

Một khi kẻ tấn công tiêm các chỉ thị độc hại vào bộ nhớ này thông qua yêu cầu CSRF, ChatGPT về cơ bản trở thành đồng phạm bất đắc dĩ trong việc thực thi các lệnh có hại.

Mức độ Ảnh hưởng và Tính dai dẳng của Khai thác

Việc thực thi mã từ xa tiềm ẩn có thể cấp cho kẻ tấn công quyền kiểm soát tài khoản người dùng, trình duyệt, kho lưu trữ mã hoặc các hệ thống được kết nối. Đây là một lỗ hổng CVE nghiêm trọng có thể dẫn đến đánh cắp dữ liệu hoặc phá hoại hệ thống.

Sự lây nhiễm này duy trì trên tất cả các thiết bị nơi tài khoản được sử dụng, bao gồm các máy tính và trình duyệt khác nhau. Điều này làm cho việc loại bỏ trở nên cực kỳ khó khăn và đặc biệt nguy hiểm cho những người dùng sử dụng cùng một tài khoản cho cả công việc và hoạt động cá nhân.

Nguy cơ Gia tăng đối với Người dùng Trình duyệt ChatGPT Atlas

Mặc dù cuộc khai thác này ảnh hưởng đến người dùng ChatGPT bất kể lựa chọn trình duyệt của họ, người dùng Atlas phải đối mặt với rủi ro cao hơn theo cấp số nhân. LayerX đã xác định đây là một lỗ hổng CVE đặc biệt nghiêm trọng với trình duyệt Atlas.

Thử nghiệm của LayerX tiết lộ rằng người dùng Atlas mặc định được đăng nhập vào ChatGPT, nghĩa là thông tin xác thực luôn có sẵn cho các cuộc tấn công CSRF.

So sánh Khả năng Chống Phishing của Atlas với Trình duyệt Truyền thống

Điều đáng lo ngại hơn, LayerX đã thử nghiệm Atlas chống lại hơn một trăm lỗ hổng web và các cuộc tấn công lừa đảo (phishing) trong thế giới thực:

• Atlas cho phép 97 trong số 103 cuộc tấn công thành công, tương đương tỷ lệ thất bại vượt quá 94%.
• So với các trình duyệt truyền thống như Edge, vốn chặn 53% các cuộc tấn công.
• Và Chrome, vốn chặn 47% các cuộc tấn công độc hại.
• Atlas chỉ chặn thành công 6% các trang web độc hại.

Điều này có nghĩa là người dùng Atlas dễ bị tấn công lừa đảo hơn khoảng 90% so với người dùng các trình duyệt đã được thiết lập.

Sự thiếu vắng các biện pháp bảo vệ chống lừa đảo có ý nghĩa trong Atlas làm tăng đáng kể mức độ tiếp xúc của người dùng với các vector tấn công có thể dẫn đến việc tiêm chỉ thị độc hại.

Minh họa Khai thác: Kịch bản “Vibe Coding”

LayerX đã trình diễn một cuộc tấn công proof-of-concept (PoC) nhắm vào người dùng Atlas tham gia vào “vibe coding”. Trong kịch bản này, các nhà phát triển cộng tác với AI như những đối tác sáng tạo chứ không phải là người thực thi từng dòng lệnh.

Trong tình huống này, kẻ tấn công tiêm các chỉ thị khiến ChatGPT tạo ra mã có vẻ hợp pháp nhưng chứa các cửa hậu (backdoors) ẩn, cơ chế trích xuất dữ liệu, hoặc khả năng remote code execution.

Các tập lệnh được tạo có thể tìm nạp mã độc hại từ các máy chủ do kẻ tấn công kiểm soát và cố gắng thực thi với các đặc quyền nâng cao, tất cả trong khi vẫn xuất hiện bình thường đối với người dùng không nghi ngờ gì.

Biện pháp Phòng thủ và Hạn chế

Mặc dù ChatGPT bao gồm một số biện pháp phòng thủ chống lại các chỉ thị độc hại, hiệu quả của chúng khác nhau tùy thuộc vào mức độ tinh vi của cuộc tấn công và cách hành vi không mong muốn xâm nhập vào Bộ nhớ.

Mã độc hại được che đậy khéo léo có thể hoàn toàn tránh được việc phát hiện, chỉ với những cảnh báo tinh tế mà người dùng có thể dễ dàng bỏ qua. Việc phát hiện tấn công mạng kiểu này đòi hỏi sự cảnh giác cao độ.

Báo cáo và Tiết lộ Trách nhiệm

LayerX đã báo cáo lỗ hổng CVE này cho OpenAI theo quy trình tiết lộ có trách nhiệm, đồng thời giữ lại các chi tiết kỹ thuật có thể cho phép tái tạo cuộc tấn công.