Дослідницька команда LayerX повідомила про уразливість у новому браузері ChatGPT Atlas від OpenAI. Комбінація Cross-Site Request Forgery (CSRF) із доступом до постійної пам’яті дозволяє зловмиснику непомітно зберігати в ІІ-асистента директиви, що переживають сесії та синхронізуються між пристроями. Внаслідок цього агент може виконувати небажані дії — від завантаження коду до несанкціонованого доступу до даних. Виправлення наразі відсутнє; технічні подробиці не розкриваються з міркувань безпеки.
CSRF і постійна пам’ять: як формується вектор атаки
CSRF змушує браузер автентифікованого користувача виконувати запити, яких він не ініціював. У випадку з ChatGPT Atlas такий запит може бути спрямований на непомітний запис інструкцій у постійну пам’ять ІІ-асистента. За аналогією з «stored XSS» у класичних веб-додатках, тут мішенню стає довготривала пам’ять агента, яку модель трактує як частину робочого контексту.
Високорівневий сценарій без експлойт-деталей
Якщо користувач авторизований у Atlas і переходить за шкідливим посиланням, сайт зловмисника може ініціювати легальні з погляду сесії запити. Такі запити використовуються для тихого збереження «правил» або завдань у пам’яті асистента. Надалі будь-який звичайний запит користувача здатен активувати ланцюжок небезпечних дій.
Чому це критично для ІІ-агентів
Atlas поєднує персоналізовану пам’ять і здатність виконувати дії (взаємодія з вебом, файлами, інтеграціями). Якщо в пам’яті закріплено шкідливу директиву, агент може системно її виконувати в нових сесіях і на інших пристроях, бо пам’ять синхронізується між середовищами. Видалення таких записів потребує ручного втручання в налаштуваннях.
Контекст загроз і відповідність галузевим практикам
Сценарій узгоджується з трендами, окресленими в OWASP LLM Top 10: prompt injection, надмірна агентність, небезпечна обробка вихідних даних і довгострокове зберігання недовіреного контенту. У поєднанні з правами на перегляд вебсторінок, доступ до файлів чи інтеграцій сторонніх сервісів, одна «отруєна» пам’ять створює стійку точку компрометації профілю користувача.
У ширшому сенсі ризик також накладається на підходи керування ризиками ШІ, описані в таких рамках, як NIST AI Risk Management Framework, де акцент робиться на принципах «безпека за замовчуванням» і «мінімально необхідні привілеї». Практика показує: коли агент може автоматизовано виконувати дії, навіть коротка ін’єкція може призвести до ексфільтрації документів або виконання команд у довірених середовищах.
Рекомендації з безпеки для користувачів ChatGPT Atlas
До виходу патча варто мінімізувати площу атаки: не обробляйте у Atlas фінансові чи інші чутливі дані, не переходьте за неперевіреними посиланнями, обмежте взаємодію з невідомими сайтами.
Регулярно перевіряйте й очищуйте постійну пам’ять у налаштуваннях; відстежуйте активність агента та відкликайте непотрібні дозволи на доступ до файлів і вебінтеграцій.
Розділяйте робочі процеси: використовуйте окремі профілі або облікові записи, увімкніть двофакторну автентифікацію та зберігайте секрети поза середовищами з високою агентністю.
Для підвищення стійкості варто застосовувати політику «найменших привілеїв» і, за потреби, ізолювати чутливі задачі в окремому браузері чи контейнері без доступу до пам’яті агента.
Статус виправлення та доступність ChatGPT Atlas
LayerX повідомила OpenAI і утримується від розкриття технічних деталей до виходу оновлення. Патч поки недоступний. Браузер ChatGPT Atlas наразі доступний для macOS; релізи для Windows і Android анонсовані без конкретних строків.
Інцидент підкреслює потребу в чіткій моделі загроз для ІІ-продуктів, які поєднують пам’ять і агентність. Користувачам варто регулярно аудитувати налаштування пам’яті, слідкувати за рекомендаціями виробника й дотримуватися кібергігієни. Організаціям — впроваджувати контроль дозволів, моніторинг дій агентів і процеси швидкого реагування на нові класи уразливостей. Зробіть перевірку своїх налаштувань сьогодні — і зменшіть ризики завтра.
