摘要：LayerX 的研究人员发现 OpenAI Atlas 的一个安全漏洞，允许攻击者通过跨站请求伪造将恶意指令注入 ChatGPT 的内存，称为“ChatGPT 污染记忆”。这一攻击手段需要用户点击恶意链接，尤其对 Atlas 用户风险较高，因为他们的身份验证令

LayerX 的研究人员发现 OpenAI Atlas 的一个安全漏洞，允许攻击者通过跨站请求伪造将恶意指令注入 ChatGPT 的内存，称为“ChatGPT 污染记忆”。这一攻击手段需要用户点击恶意链接，尤其对 Atlas 用户风险较高，因为他们的身份验证令牌存储在浏览器中，容易被利用。测试显示，Atlas 浏览器对网络钓鱼攻击的敏感性比传统浏览器高出 90%。攻击通过利用用户的活动会话迫使浏览器提交恶意请求，使得攻击者获得系统访问权限。一旦账户的记忆被感染，这种攻击会在所有设备上持续存在。LayerX 的测试显示，Atlas 仅成功阻止 5.8% 的恶意网页，明显低于其他浏览器，揭示了 AI 浏览器的潜在风险。

在再次提醒人们对 AI 浏览器保持谨慎的背景下，LayerX 的研究人员发现了 OpenAI 的 Atlas 中的一个漏洞。这个安全漏洞允许攻击者通过跨站请求伪造将恶意指令注入 ChatGPT 的内存。该漏洞被称为 ChatGPT 污染记忆，这一利用手段由 LayerX 的研究人员识别并报告给 OpenAI。它需要一定程度的社会工程，因为用户必须点击一个恶意链接。风险扩展到任何浏览器上的 ChatGPT 用户，但对于使用 Atlas 的用户而言，尤其危险，Atlas 是 OpenAI 新推出的 macOS 平台上的 AI 驱动网页浏览器。

LayerX 的联合创始人兼首席执行官 Or Eshed 强调了 Atlas 用户面临的更高风险，这些用户通常默认登录 ChatGPT。这意味着他们的身份验证令牌存储在浏览器中，并且在活动会话期间可能被利用。LayerX 的测试显示，与传统浏览器如 Chrome 和 Edge 相比，Atlas 浏览器对网络钓鱼攻击的敏感性高达 90%。OpenAI 尚未对《注册》关于此攻击及 LayerX 发现的询问做出回应，故事将在收到公司进一步信息后更新。

该攻击利用跨站请求伪造漏洞，利用用户在网站上的活动会话迫使浏览器提交恶意请求。由于用户在该网站上的身份验证状态，这个请求被视为合法，从而使攻击者获得对 OpenAI 系统的访问权限。该攻击还针对 ChatGPT 的内置记忆，允许聊天机器人“记住”用户的查询和偏好。一旦账户的记忆被破坏，感染会在所有使用该账户的设备和浏览器上持续存在，使得对于同时用于工作和个人目的的用户而言，攻击尤其危险。

以下是攻击展开的简化概述：

在 LayerX 的概念验证中，隐藏的提示指示聊天机器人在用户的手机连接到其家庭 Wi-Fi 网络时播放《眼中的老虎》。然而，同样的方法也可以用于更恶意的目的，包括部署恶意软件、窃取数据或给予攻击者对受害者系统的完全控制。根据 Eshed 的说法，基于 AI 的浏览器用户，如 Atlas，面临的风险要大得多。

LayerX 对 103 个真实世界的网络钓鱼攻击和网站漏洞进行了测试，涵盖了传统浏览器如 Chrome 和 Edge 以及 AI 浏览器如 Comet、Dia 和 Genspark。结果显示，虽然 Edge 阻止了 53% 的攻击，Chrome 和 Dia 阻止了 47%，但 Atlas 仅成功阻止了 5.8% 的恶意网页。这明显表明，与其他浏览器的用户相比，Atlas 用户对网络钓鱼攻击的脆弱性高出 90%。

这一新漏洞是在 NeuralTrust 之前对 Atlas 进行的提示注入攻击之后被发现的，研究人员在一个看似无害的 URL 中伪装了一个恶意提示。Atlas 错误地将这些隐藏的指令视为高信任的“用户意图”文本，从而允许潜在的有害行为。与 LayerX 的概念验证类似，NeuralTrust 的攻击同样涉及社会工程，要求用户将虚假的 URL 复制并粘贴到 Atlas 的“全能框”中，在那里输入 URL 或搜索词。鉴于这些事件，很明显 AI 浏览器如何轻易被操控以执行嵌入在网页中的有害命令。

来源：老孙科技前沿