Forskare har upptäckt flera allvarliga svagheter i OpenAIs ChatGPT som kan göra det möjligt för angripare att komma åt privat information ur användarnas chathistorik och sparade minnen.
Totalt rör det sig om sju sårbarheter som främst beror på hur ChatGPT och dess hjälpsystem SearchGPT beter sig vid webbsökningar, sidläsning och URL-hantering.
Enligt säkerhetsföretaget Tenable, som ligger bakom upptäckten, kan miljontals användare vara utsatta. I sin rapport skriver forskarna Moshe Bernstein och Liv Matan att de genom att kombinera de olika bristerna kunde skapa fungerande attacker som utnyttjar indirekta promptinjektioner, kringgår säkerhetsfilter, stjäl användardata och skapar bestående tillgång till systemet.
Upptäckten lägger till ännu ett lager av oro kring säkerheten i stora språkmodeller. Sedan ChatGPT lanserades offentligt 2022 har forskare gång på gång visat hur promptinjektioner, dataläckor och så kallad jailbreaking kan utnyttjas på sätt som är svåra att skydda sig mot. Tenables rapport varnar företag för att använda AI-chattbottar i sina arbetsflöden utan att fullt ut förstå säkerhetsriskerna.
Sju sårbarheter i ChatGPT
De sju svagheterna har sitt ursprung i hur ChatGPT behandlar instruktioner från externa källor som webbsidor, sökresultat, bloggkommentarer och skapade länkar. En av dem är en indirekt promptinjektion, där angripare kan gömma instruktioner i en webbsidas kommentarsfält. Om en användare sedan ber ChatGPT sammanfatta sidan, följer boten instruktionerna och kan till exempel skicka en länk till en skadlig sajt.
En annan sårbarhet gäller OpenAIs funktion som låter användare skapa frågor direkt via URL:er, till exempel https://chatgpt.com/?q={Prompt}. Eftersom ChatGPT automatiskt skickar vidare frågan som finns i adressen, kan angripare skapa bedrägliga länkar som injicerar skadliga kommandon när de klickas på.
Forskarna upptäckte också att ChatGPT visar ett implicit förtroende för domänen bing.com. Genom att registrera skadliga webbplatser på Bing och använda sökmotorns spårningslänkar kan angripare kringgå ChatGPT:s säkerhetsfilter.
Ytterligare en metod, kallad konversationsinjektion, utnyttjar hur ChatGPT sparar hela samtalshistoriken. Om SearchGPT läser in en webbsida med skadliga instruktioner kan ChatGPT senare följa dem direkt ur minnet och på så sätt infektera sin egen konversation.
Bland de mest oroande fynden finns en så kallad zero-click-sårbarhet. Den innebär att en användare kan drabbas utan att klicka på någonting – det räcker att ChatGPT söker efter information och råkar hamna på en manipulerad sida. För vanliga användare är detta särskilt riskfyllt eftersom ingen teknisk åtgärd krävs för att bli utsatt.
Flera vägar för attacker
Tenable bedömer att välresurserade angripargrupper, som statliga aktörer eller avancerade hackernätverk, skulle kunna utnyttja dessa sårbarheter i breda kampanjer. Ett enklare scenario kan vara att någon placerar skadliga kommentarer på bloggar som ChatGPT sedan läser in, vilket gör att chatboten lagrar falska preferenser eller länkar till nätfiskesidor.
Företaget genomförde sina tester främst på ChatGPT-4o men bekräftar att flera av bristerna även gäller den nyare modellen ChatGPT-5. Tenable rapporterade sårbarheterna till OpenAI i april, men det är oklart om åtgärder vidtagits. En del av felen har varit svåra att återskapa, medan andra fortfarande finns kvar.
”Huvudpoängen är att medelsvåra och allvarliga brister kan kedjas ihop till en kritisk attackväg”, säger Moshe Bernstein. ”Var för sig är de oroande, men tillsammans kan de användas för att gå från injektion och säkerhetsförbikoppling till datastöld och permanent åtkomst.”
Källa:
Tenable
Läs mer
OpenAI lanserar ChatGPT Atlas – webbläsaren med inbyggd AI-assistent
Nya siffror visar hur ChatGPT hanterar samtal om psykisk ohälsa
