Basta un link per hackerare Atlas, il browser AI di OpenAI
Ricercatori scoprono falla nella barra indirizzi che trasforma link apparentemente innocui in comandi dannosi per l'agente AI.
Il browser Atlas di OpenAI, lanciato appena la scorsa settimana con capacità ChatGPT integrate, è vulnerabile ad un attacco di prompt injection che sfrutta la barra degli indirizzi per eseguire comandi malevoli mascherati da URL innocui. La scoperta arriva da NeuralTrust, azienda di sicurezza specializzata in intelligenza artificiale, che ha pubblicato venerdì un rapporto dettagliato sulla falla.
“La omnibox (barra combinata indirizzo/ricerca) interpreta l’input come un URL da visitare o come un comando in linguaggio naturale per l’agente”, ha spiegato NeuralTrust. “Abbiamo identificato una tecnica di prompt injection che maschera istruzioni malevole per farle sembrare un URL, ma che Atlas tratta come un vero e proprio comando impartito dall’utente e, dunque, “ad alta affidabilità”. Tradotto: un comando da eseguire senza farsi troppe domande.
Come funziona l’attacco
Nell’attacco descritto dai ricercatori, un malintenzionato può fregare il browser creando un prompt mascherato da stringa URL nella omnibox. L’URL intenzionalmente malformato inizia con “https” e presenta un testo simile a un dominio come “my-wesite.com”, seguito da istruzioni in linguaggio naturale incorporate per l’agente. Quando un utente ignaro inserisce questa stringa nella barra indirizzi, il browser la tratta come un prompt per l’agente AI anziché come URL valido, causando l’esecuzione del comando incorporato.
Un esempio dell’attacco: basta un comando mascherato da link per ingannare l’AI
In uno scenario di attacco ipotetico, un link di questo tipo potrebbe essere nascosto dietro un pulsante “Copia link”, permettendo a un attaccante di condurre le vittime verso pagine di phishing sotto il suo controllo. Ancora peggio, potrebbe contenere un comando nascosto per eliminare file da applicazioni connesse come Google Drive. “Poiché i prompt della omnibox sono trattati come input utente fidato, potrebbero ricevere meno controlli rispetto ai contenuti provenienti da pagine web”, ha affermato il ricercatore di sicurezza Martí Jordà.
Dane Stuckey, Chief Information Security Officer di OpenAI, ha commentato il lavoro dei ricercatori ammettendo la sfida: “quello dei promt injection è un problema ancora non risolto”, ha spiegato.
