ChatGPhish: Luka w Markdown ChatGPT umożliwia phishing poprzez wstrzykiwanie promptów

ChatGPhish: Luka w Markdown ChatGPT umożliwia phishing poprzez wstrzykiwanie promptów

Nowo ujawniona luka phishingowa w ChatGPT o nazwie ChatGPhish budzi poważne obawy dotyczące tego, jak wspomagane przez AI przeglądanie sieci może zostać obrócone przeciwko użytkownikom, którym ma pomagać. Badacze z Permiso Security ujawnili, że wbudowane zaufanie ChatGPT do linków i obrazów sformatowanych w Markdown stwarza możliwość wstrzykiwania złośliwych promptów bezpośrednio do podsumowań internetowych tworzonych przez AI, co w praktyce przekształca rutynową funkcję zwiększania produktywności w mechanizm dystrybucji phishingu.

Jak ChatGPhish wykorzystuje zaufanie ChatGPT do Markdown

Gdy ChatGPT przegląda sieć i podsumowuje treści dla użytkownika, przetwarza i renderuje formatowanie Markdown, w tym hiperłącza i osadzone obrazy. Luka ChatGPhish wykorzystuje to zachowanie, osadzając specjalnie spreparowane instrukcje w treści strony internetowej. Ponieważ ChatGPT traktuje tę treść jako zaufane dane wejściowe, wstrzyknięte instrukcje mogą przekierować wyniki AI, zmusić ją do wyświetlania zwodniczych linków lub skłonić do wyłudzania danych uwierzytelniających od użytkownika pod fałszywym pretekstem.

Jest to atak pośredniego wstrzykiwania promptów. W przeciwieństwie do bezpośredniego wstrzykiwania, gdzie użytkownik celowo manipuluje AI za pomocą spreparowanych danych wejściowych, pośrednie wstrzykiwanie ukrywa złośliwe polecenia w zewnętrznej treści, którą AI pobiera i przetwarza autonomicznie. Użytkownik nigdy nie widzi ukrytych instrukcji; widzi jedynie to, co atakujący zaprojektował, by AI wygenerowało. W przypadku ChatGPhish rezultatem mogą być przekonujące komunikaty phishingowe, które sprawiają wrażenie pochodzących od samej AI, nadając im fałszywą legitymację.

To, co czyni tę lukę szczególnie godną uwagi, to fakt, że powierzchnia ataku nie dotyczy bazowego modelu AI, lecz zaufania, jakim darzy ona podsumowywane treści internetowe. Atakujący nie musi kompromitować systemów OpenAI. Wystarczy, że przejmie kontrolę nad stroną lub nią zmanipuluje – taką, o której podsumowanie użytkownik może poprosić ChatGPT.

Kto jest najbardziej narażony i jakie dane mogą zostać ujawnione

Każdy korzystający z funkcji przeglądania stron internetowych lub podsumowywania treści w ChatGPT jest potencjalnie narażony, jednak pewne grupy są szczególnie zagrożone. Użytkownicy, którzy polegają na ChatGPT do szybkiego streszczania artykułów, dokumentów lub stron zewnętrznych, najprawdopodobniej napotkają wstrzyknięte treści, nie zdając sobie z tego sprawy. Użytkownicy korporacyjni, którzy zintegrowali ChatGPT z procesami obejmującymi zewnętrzne źródła danych, są narażeni w jeszcze większym stopniu.

Dane zagrożone to przede wszystkim informacje uwierzytelniające. Udany atak ChatGPhish może nakłonić użytkownika do podania hasła, tokena uwierzytelniającego lub danych konta na stronie phishingowej, którą AI przedstawiła jako legalną. Biorąc pod uwagę, że miliardy danych uwierzytelniających krążą już w repozytoriach naruszeń, w tym 19 miliardów haseł ujawnionych w wycieku RockYou2024, każdy nowy wektor phishingu, który omija naturalny sceptycyzm użytkowników, jest poważnym zagrożeniem.

Konta powiązane z usługami płatniczymi, systemami korporacyjnymi lub wrażliwymi danymi osobowymi są najbardziej atrakcyjnymi celami. Prośba o dane uwierzytelniające, pojawiająca się jako naturalna część odpowiedzi ChatGPT, prawdopodobnie ominie filtry mentalne, które użytkownicy stosują przy rozpoznawaniu konwencjonalnych e-maili phishingowych.

Dlaczego użytkownicy sieci publicznych i VPN są bardziej narażeni

Użytkownicy publicznych sieci Wi-Fi są narażeni na zwiększone ryzyko związane z ChatGPhish. W sieciach nieszyfrowanych lub słabo zabezpieczonych przechwytywanie ruchu stanowi realne zagrożenie. Choć sam atak ChatGPhish nie wymaga dostępu na poziomie sieci, połączenie skompromitowanego środowiska sieciowego i zmanipulowanego podsumowania AI tworzy szczególnie niebezpieczną sytuację. Dane uwierzytelniające przechwycone w kawiarni czy na lotnisku mogą zostać wykorzystane natychmiast, zanim użytkownik zdąży wykryć naruszenie.

Korzystanie z VPN rozwiązuje jeden wymiar tego problemu, szyfrując ruch między urządzeniem użytkownika a internetem, co zmniejsza ryzyko przechwycenia na poziomie sieci. Nie zapobiega to jednak przetwarzaniu przez ChatGPT złośliwych treści stron internetowych i wyświetlaniu wstrzykniętych promptów. Atak ChatGPhish odbywa się na warstwie aplikacji, co oznacza, że same zabezpieczenia sieciowe są niewystarczające. Użytkownicy muszą zachować czujność wobec nieoczekiwanych próśb o dane uwierzytelniające pojawiających się w podsumowaniach generowanych przez AI, niezależnie od tego, jak zabezpieczony jest ich ruch sieciowy.

Praktyczne kroki, aby uniknąć stania się celem ChatGPhish

Dopóki OpenAI nie wyda ostatecznej poprawki lub zmiany architektonicznej, która zapobiegnie wstrzykiwaniu promptów opartemu na Markdown, użytkownicy mogą podjąć kilka praktycznych działań, aby ograniczyć narażenie.

Po pierwsze, każdą prośbę o podanie danych uwierzytelniających lub logowania wyświetloną w podsumowaniu ChatGPT należy od razu traktować jako podejrzaną. ChatGPT nie ma uzasadnionego powodu, by prosić o hasła lub tokeny uwierzytelniające w ramach podsumowania internetowego. Jeśli zobaczysz takie żądanie, zamknij sesję i przejdź bezpośrednio na odpowiednią stronę przez przeglądarkę.

Po drugie, wybiórczo podchodź do stron, o których podsumowanie prosisz ChatGPT, zwłaszcza tych pochodzących z nierozpoznanych lub niegodnych zaufania źródeł. Głównym mechanizmem dostarczania ładunków ChatGPhish są strony kontrolowane przez atakujących.

Po trzecie, już teraz przejrzyj ogólne zasady higieny kont i danych uwierzytelniających, nie czekając na incydent. Używanie silnych, unikalnych haseł do każdego konta oznacza, że nawet jeśli atak phishingowy przechwyci jedno z nich, szkody będą ograniczone. Biorąc pod uwagę, jak łatwo dane uwierzytelniające są wykorzystywane ponownie w atakach po masowych wyciekach, jest to niepodlegający negocjacjom poziom podstawowy.

Wreszcie, monitoruj komunikaty bezpieczeństwa OpenAI pod kątem poprawek lub środków zaradczych związanych z ChatGPhish. Szybkie stosowanie aktualizacji to jedna z najprostszych form obrony przed ujawnionymi lukami.

Co to oznacza dla Ciebie

ChatGPhish przypomina, że narzędzia AI dziedziczą ryzyko związane z przetwarzanymi treściami. Zaufanie do podsumowania AI nie jest tym samym, co zaufanie do źródłowej treści, a atakujący już wykorzystują tę lukę. Atak nie wymaga od napastnika zaawansowanych umiejętności technicznych, co oznacza, że prawdopodobnie rozprzestrzeni się poza grono badaczy bezpieczeństwa, trafiając do aktywnego użytku przestępczego.

Najważniejszym działaniem, jakie możesz teraz podjąć, jest audyt bezpieczeństwa swoich danych uwierzytelniających. Jeśli to samo hasło chroni wiele kont, jedna udana próba phishingu ChatGPhish może przekształcić się w znacznie szersze naruszenie. Przejrzenie informacji o wycieku RockYou2024 to dobry punkt wyjścia do zrozumienia skali zagrożeń związanych z danymi uwierzytelniającymi, które sprawiają, że ataki takie jak ChatGPhish mają tak poważne konsekwencje. Unikalne, silne hasła i uwierzytelnianie wieloskładnikowe na wszystkich kluczowych kontach pozostają najbardziej niezawodną pierwszą linią obrony, gdy narzędzia AI mogą zostać przekształcone w powierzchnię phishingową.