Дослідники з LayerX Security виявили вразливість CSRF у браузері ChatGPT Atlas від OpenAI, яка дозволяє хакерам інжектувати шкідливі інструкції в стійку пам’ять ШІ. Експлойт використовує автентифіковану сесію користувача, обманюючи його через соціальну інженерію відкрити шкідливе посилання, що запускає CSRF-запит. Це забруднює пам’ять ChatGPT, призначену для збереження деталей користувача, як уподобання, через сесії та пристрої, дозволяючи прихованим командам зберігатися. Під час звичайних взаємодій з ChatGPT забруднена пам’ять може виконувати довільний код, призводячи до розгортання малварі, ескалації привілеїв чи ексфільтрації даних. Вразливість впливає на ChatGPT Atlas, тести показують, що він блокує лише 5,8% шкідливих веб-сторінок проти 47–53% у Chrome та Edge.

Наслідки включають стійкий контроль над акаунтами користувачів, браузерами чи системами, оскільки шкідливі інструкції виживають через пристрої та сесії, доки не видалені вручну через налаштування. Хакери можуть експлуатувати це під час легітимних взаємодій, як запити коду, для запуску прихованих команд. LayerX утримався від технічних деталей, але зазначив, що слабкий захист від фішингу в ChatGPT Atlas посилює ризик. Рекомендації: трактувати AI-браузери як критичну інфраструктуру, впроваджувати потужний захист браузера та закликати користувачів регулярно перевіряти та очищати налаштування пам’яті. Підприємствам слід моніторити AI-агентів як вектори ексфільтрації даних та застосовувати сильніші заходи проти CSRF та атак на основі пам’яті.