Vulnerabilidad en ChatGPT Ex pone a Usuarios en Riesgo de Phishing
Publicado el
Vulnerabilidad en ChatGPT: ChatGPhish
Recientes investigaciones han revelado una vulnerabilidad en OpenAI ChatGPT que puede ser explotada para llevar a cabo ataques de phishing. Este problema, denominado ChatGPhish por Permiso Security, se basa en la confianza implícita del asistente en enlaces y imágenes de Markdown.
Según el investigador de seguridad Andi Ahmeti, ChatGPT automáticamente recupera imágenes y muestra enlaces como elementos interactivos en su interfaz, lo que crea una superficie potencial para ataques. En un escenario hipotético, un atacante puede añadir un pequeño payload a cualquier página web que más tarde el usuario solicite que ChatGPT resuma. Esto provoca que se filtren detalles como la dirección IP, User-Agent y Referer del usuario, ya que las imágenes que el atacante aloja se cargan automáticamente durante la generación de la respuesta.
Además, este ataque puede resultar en la presentación de enlaces de Markdown maliciosos como elementos clicables en la respuesta del asistente, así como en la inclusión de alertas de seguridad falsas y códigos QR que podrían engañar al usuario para que los escanee con su dispositivo móvil. Este método elude filtros de URL y controles de seguridad en entornos empresariales.
El hallazgo subraya cómo el proceso de resumir información puede convertirse en una superficie de ataque. En marzo, Permiso también reveló cómo un correo electrónico controlado por un atacante, al ser resumido por Microsoft Copilot, podía influir en sus resultados a través de una inyección de prompt cruzada (XPIA).
Lo que distingue a ChatGPhish no es solo la inyección de prompt, sino la forma en que las instrucciones incrustadas en una página web son seguidas y presentadas al usuario como parte del resumen. Una página web normal resumida por ChatGPT puede exponer enlaces de phishing, alertas de cuentas falsificadas y contenido malicioso directamente en una interfaz de IA de confianza.
A medida que más organizaciones utilizan ChatGPT para la investigación y la resumición, esta vulnerabilidad implica que cualquier página web maliciosa que un empleado pida al chatbot procesar podría contener un payload que convierta ChatGPT en una superficie para phishing. Permiso advierte que el cambio de ataques por correo electrónico a ataques a través del navegador amplía significativamente la superficie de ataque. Un usuario ya no necesita abrir un archivo adjunto malicioso; simplemente solicitar un resumen de una página puede introducir instrucciones controladas por un atacante en el contexto del modelo, afectando así la respuesta generada.
La revelación de esta vulnerabilidad coincide con el trabajo de Adversa AI, que identificó dos técnicas de ataque, SymJack y TrustFall, dirigidas a agentes de codificación de IA que permiten a los atacantes ejecutar código y comprometer completamente las máquinas. SymJack permite a un repositorio malicioso lograr ejecución remota de código a través de asistentes de codificación de IA, manipulando el archivo de configuración del agente. Por su parte, TrustFall es un ataque de ejecución remota de código que puede aprovechar un repositorio malicioso para ejecutar configuraciones sin la aprobación del usuario.
En resumen, la vulnerabilidad ChatGPhish destaca la necesidad de ser cautelosos al utilizar tecnologías de inteligencia artificial para la resumición de información, ya que pueden ser manipuladas para facilitar ataques de phishing. Este tipo de amenazas resalta la importancia de mantener una vigilancia constante en un entorno digital cada vez más complejo.