Ciberseguridad 360 | Investigadores descubren vulnerabilidades en ChatGPT que permiten a los atacantes engañar a la IA para que filtre datos

Investigadores de ciberseguridad han revelado un nuevo conjunto de vulnerabilidades que afectan al chatbot de inteligencia artificial (IA) ChatGPT de OpenAI, que podr�an ser explotadas por un atacante para robar informaci�n personal de los recuerdos y el historial de chat de los usuarios sin su conocimiento.

Seg�n Tenable, las siete vulnerabilidades y t�cnicas de ataque se encontraron en los modelos GPT-4o y GPT-5 de OpenAI. OpenAI ya ha solucionado algunas de ellas .

Estos problemas exponen al sistema de IA a ataques de inyecci�n de comandos indirectos , lo que permite a un atacante manipular el comportamiento esperado de un modelo de lenguaje grande (LLM) y enga�arlo para que realice acciones no deseadas o maliciosas, seg�n indicaron los investigadores de seguridad Moshe Bernstein y Liv Matan en un informe compartido con The Hacker News.

Las deficiencias detectadas se enumeran a continuaci�n:

Vulnerabilidad de inyecci�n indirecta de c�digo malicioso a trav�s de sitios de confianza en el contexto de navegaci�n, que consiste en solicitar a ChatGPT que resuma el contenido de p�ginas web con instrucciones maliciosas a�adidas en la secci�n de comentarios, lo que provoca que el LLM las ejecute.

Vulnerabilidad de inyecci�n indirecta de mensajes sin clic en Search Context, que consiste en enga�ar al LLM para que ejecute instrucciones maliciosas simplemente preguntando sobre un sitio web en forma de consulta en lenguaje natural, debido a que el sitio puede haber sido indexado por motores de b�squeda como Bing y el rastreador de OpenAI asociado con SearchGPT.

Vulnerabilidad de inyecci�n de prompts mediante un solo clic, que consiste en crear un enlace con el formato "chatgpt[.]com/?q={Prompt}", lo que provoca que el LLM ejecute autom�ticamente la consulta en el par�metro "q=".

Vulnerabilidad de omisi�n del mecanismo de seguridad, que aprovecha el hecho de que el dominio bing[.]com est� en la lista de permitidos en ChatGPT como una URL segura para configurar enlaces de seguimiento de anuncios de Bing (bing[.]com/ck/a) para enmascarar URL maliciosas y permitir que se muestren en el chat.

La t�cnica de inyecci�n de conversaci�n consiste en insertar instrucciones maliciosas en un sitio web y pedirle a ChatGPT que resuma el sitio web, lo que provoca que el LLM responda a las interacciones posteriores con respuestas no deseadas debido a que la instrucci�n se coloca dentro del contexto conversacional (es decir, la salida de SearchGPT).

T�cnica de ocultaci�n de contenido malicioso, que consiste en ocultar mensajes maliciosos aprovechando un error en la forma en que ChatGPT renderiza Markdown, que provoca que no se rendericen los datos que aparecen en la misma l�nea que indican la apertura de un bloque de c�digo delimitado (```) despu�s de la primera palabra.

La t�cnica de inyecci�n de memoria consiste en envenenar la memoria ChatGPT de un usuario ocultando instrucciones secretas en un sitio web y pidi�ndole al LLM que resuma el sitio.

Esta revelaci�n se produce poco despu�s de una investigaci�n que demuestra varios tipos de ataques de inyecci�n r�pida contra herramientas de IA capaces de eludir las medidas de seguridad y protecci�n.

Una t�cnica llamada PromptJacking explota tres vulnerabilidades de ejecuci�n remota de c�digo en los conectores de Chrome, iMessage y Notas de Apple de Anthropic Claude para lograr la inyecci�n de comandos sin sanitizar, lo que resulta en la inyecci�n de prompts.

Existe una t�cnica denominada �pirata de Claude� que abusa de la API de archivos de Claude para la exfiltraci�n de datos mediante inyecciones de prompts indirectas, aprovechando una vulnerabilidad en los controles de acceso a la red de Claude.

Una t�cnica denominada contrabando de sesi�n de agente que aprovecha el protocolo Agent2Agent ( A2A ) permite a un agente de IA malicioso explotar una sesi�n de comunicaci�n entre agentes establecida para inyectar instrucciones adicionales entre una solicitud leg�tima del cliente y la respuesta del servidor, lo que resulta en envenenamiento de contexto, exfiltraci�n de datos o ejecuci�n no autorizada de herramientas.

Una t�cnica denominada incepci�n inmediata que emplea inyecciones inmediatas para dirigir un agente de IA hacia la amplificaci�n de sesgos o falsedades, lo que conduce a la desinformaci�n a gran escala.

Un ataque sin clic llamado shadow escape que se puede utilizar para robar datos confidenciales de sistemas interconectados aprovechando las configuraciones est�ndar del Protocolo de Contexto del Modelo ( MCP ) y los permisos MCP predeterminados mediante documentos especialmente dise�ados que contienen "instrucciones shadow" que activan el comportamiento cuando se cargan en chatbots de IA.

Se ha implementado una inyecci�n indirecta de c�digo malicioso dirigida a Microsoft 365 Copilot que abusa de la compatibilidad integrada de la herramienta con los diagramas de Mermaid para la exfiltraci�n de datos, aprovechando su compatibilidad con CSS.

Se ha detectado una vulnerabilidad en GitHub Copilot Chat denominada CamoLeak (puntuaci�n CVSS: 9.6) que permite la exfiltraci�n encubierta de secretos y c�digo fuente de repositorios privados, as� como el control total de las respuestas de Copilot. Esto se logra mediante la elusi�n de la Pol�tica de Seguridad de Contenido ( CSP ) y la inyecci�n remota de mensajes de solicitud utilizando comentarios ocultos en las solicitudes de extracci�n.

Un ataque de jailbreak de caja blanca llamado LatentBreak genera prompts adversarios naturales con baja perplejidad, capaz de evadir mecanismos de seguridad sustituyendo palabras en el prompt de entrada por otras sem�nticamente equivalentes y preservando la intenci�n inicial del prompt.

Los resultados muestran que exponer los chatbots de IA a herramientas y sistemas externos, un requisito clave para construir agentes de IA, ampl�a la superficie de ataque al presentar m�s v�as para que los actores maliciosos oculten mensajes maliciosos que terminan siendo analizados por los modelos.

�La inyecci�n de c�digo es un problema conocido en el funcionamiento de los LLM y, lamentablemente, probablemente no se solucionar� sistem�ticamente en un futuro pr�ximo�, afirmaron los investigadores de Tenable. �Los proveedores de IA deben asegurarse de que todos sus mecanismos de seguridad (como url_safe) funcionen correctamente para limitar los posibles da�os causados ??por la inyecci�n de c�digo�.

Este avance surge a ra�z de un estudio realizado por un grupo de acad�micos de Texas A&M, la Universidad de Texas y la Universidad de Purdue, quienes descubrieron que entrenar modelos de IA con "datos basura" puede provocar un "deterioro cerebral" en los modelos de aprendizaje autom�tico (LLM), advirtiendo que "depender en gran medida de los datos de Internet lleva al preentrenamiento de los LLM a la trampa de la contaminaci�n de contenido".

El mes pasado, un estudio de Anthropic, el Instituto de Seguridad de IA del Reino Unido y el Instituto Alan Turing tambi�n descubri� que es posible introducir con �xito puertas traseras en modelos de IA de diferentes tama�os (600 millones, 2 mil millones, 7 mil millones y 13 mil millones de par�metros) utilizando solo 250 documentos envenenados, lo que desmiente las suposiciones anteriores de que los atacantes necesitaban obtener el control de un cierto porcentaje de los datos de entrenamiento para manipular el comportamiento de un modelo.

Desde el punto de vista del ataque, los actores maliciosos podr�an intentar envenenar el contenido web que se extrae para entrenar modelos de aprendizaje autom�tico, o podr�an crear y distribuir sus propias versiones envenenadas de modelos de c�digo abierto.

�Si los atacantes solo necesitan inyectar un n�mero fijo y reducido de documentos en lugar de un porcentaje de los datos de entrenamiento, los ataques de envenenamiento de datos podr�an ser m�s factibles de lo que se cre�a�, afirm� Anthropic. �Crear 250 documentos maliciosos es trivial comparado con crear millones, lo que hace que esta vulnerabilidad sea mucho m�s accesible para los posibles atacantes�.

Y eso no es todo. Otra investigaci�n realizada por cient�ficos de la Universidad de Stanford descubri� que optimizar los LLM para lograr el �xito competitivo en ventas, elecciones y redes sociales puede provocar inadvertidamente una desalineaci�n, un fen�meno conocido como el Pacto de Moloch.

"En consonancia con los incentivos del mercado, este procedimiento produce agentes que logran mayores ventas, mayores porcentajes de votantes y mayor participaci�n", escribieron los investigadores Batu El y James Zou en un documento adjunto publicado el mes pasado.

"Sin embargo, este mismo procedimiento tambi�n genera, como efecto secundario, graves problemas de seguridad, como la representaci�n enga�osa de productos en las presentaciones de ventas y la informaci�n falsa en las publicaciones de redes sociales. En consecuencia, si no se controla, la competencia en el mercado corre el riesgo de convertirse en una carrera a la baja: el agente mejora el rendimiento a expensas de la seguridad."

Fuente: TheHackerNews.