Исследовательская команда LayerX выявила уязвимость в новом браузере ChatGPT Atlas от OpenAI. По оценке специалистов, через связку CSRF и механизма постоянной памяти злоумышленник может незаметно внедрять в ИИ-ассистента устойчивые инструкции, сохраняющиеся между сессиями и устройствами. В результате ChatGPT Atlas способен выполнять нежелательные действия, вплоть до загрузки кода, повышения привилегий и кражи данных. Патч пока не выпущен; технические детали не раскрываются из соображений безопасности.
Что именно обнаружили LayerX: CSRF + постоянная память
Уязвимость базируется на Cross-Site Request Forgery (CSRF), когда веб-клиент авторизованного пользователя побуждается выполнить непреднамеренный запрос. В связке с доступом к постоянной памяти ChatGPT это позволяет атакующему записать в память ассистента скрытые инструкции. Эти инструкции затем интерпретируются ИИ как часть контекста и могут инициировать действия, о которых пользователь не просил: открывать аккаунты, выполнять команды, обращаться к файлам и сервисам.
По данным LayerX, после «отравления» памяти обычные запросы пользователя способны триггерить цепочки операций, включая загрузку кода и несанкционированный доступ к данным, при этом защитные механизмы могут не сработать. Критично, что память синхронизируется на всех устройствах и в разных браузерах, поэтому эффект сохраняется до ручного удаления записей в настройках.
Как это работает: механика атаки без лишних деталей
CSRF как триггер скрытой записи в память
Если пользователь авторизован в ChatGPT Atlas и переходит по вредоносной ссылке, сайт атакующего может инициировать запросы от имени жертвы. В сценарии LayerX такие запросы используются для незаметной записи директив в постоянную память ИИ-ассистента. Это похоже на «stored XSS» в классических веб-приложениях, но с переносом в домен ИИ-агента и его долговременной памяти.
Почему это опасно для ИИ-агентов
ChatGPT Atlas объединяет память и способность выполнять действия в реальном окружении. Если ассистент воспринимает вредоносные указания как свои «правила» или «задачи», он может последовательно исполнять их при каждом диалоге. Это типичный риск класса prompt injection в сочетании с агентностью, где единожды внедренная директива продолжает работать до удаления. Функция памяти была представлена в феврале 2024 года для персонализации ответов, но её устойчивость и кросс-сессионная доступность усиливают потенциальный ущерб при компрометации.
Контекст угроз: тенденции и практики защиты
Подобные сценарии отражают тренды, описанные в материаловедении по безопасности ИИ (включая OWASP LLM Top 10): prompt injection, чрезмерная агентность без ограничений, небезопасная обработка вывода и долговременное хранение недоверенных инструкций. Когда ИИ-агент имеет доступ к браузеру, файлам и интеграциям, одна «ядовитая» запись в памяти становится вектором для устойчивой атаки, эквивалентной длительному компрометированию профиля пользователя.
Рекомендации для пользователей ChatGPT Atlas
До выхода исправления стоит минимизировать потенциальный ущерб: избегать обработки писем, финансовых и иных чувствительных данных в Atlas; не переходить по незнакомым ссылкам и не открывать непроверенные сайты. Регулярно проверяйте и очищайте постоянную память в настройках, отслеживайте активность ИИ-агента и отключайте лишние разрешения. Полезно разделять рабочие процессы: использовать отдельные профили/аккаунты, включить 2FA и хранить секреты вне сред с повышенной агентностью.
Статус исправления и доступность Atlas
LayerX уведомила OpenAI и воздерживается от публикации техподробностей до выпуска патча. На момент публикации исправление отсутствует. Браузер ChatGPT Atlas доступен для macOS; версии для Windows и Android анонсированы, но без точных сроков.
Инцидент демонстрирует, что интеграция памяти и агентности в ИИ-продуктах требует строгой модели угроз и «безопасности по умолчанию». Пользователям стоит своевременно проводить аудит настроек памяти, следить за рекомендациями производителя и применять гигиену безопасности при работе с ИИ-инструментами. Организациям — внедрять контроль разрешений, мониторинг активности агентов и процессы быстрого отклика на новые классы уязвимостей.
