📰 Informação fresquinha chegando para você!
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética divulgaram detalhes de uma vulnerabilidade no OpenAI ChatGPT que aproveita a confiança implícita do assistente de inteligência artificial (IA) em links e imagens Markdown para acionar injeções imediatas e abrir a porta para ataques de phishing.
A técnica recebeu o codinome ChatGPhish da Permiso Security.
“O renderizador de resposta chatgpt.com confia em links Markdown e URLs de imagem Markdown originados de uma página de terceiros que o assistente acabou de resumir. Ele busca automaticamente essas imagens e exibe esses links como elementos clicáveis ao vivo dentro da interface do assistente confiável”, disse o pesquisador de segurança Andi Ahmeti em um relatório compartilhado com The Hacker News.
Em um cenário de ataque hipotético, um malfeitor pode anexar uma pequena carga útil a qualquer página da web que a vítima posteriormente solicitará ao ChatGPT para resumir, fazendo com que ele vaze seus detalhes de IP, agente do usuário e referenciador quando as imagens hospedadas pelo invasor incorporadas na página são buscadas automaticamente quando a resposta é renderizada.
Além disso, pode resultar na renderização de links Markdown maliciosos como elementos clicáveis ao vivo dentro da resposta do assistente, servir alertas de segurança de estilo de sistema muito falsos e servir um código QR do bucket S3 de um invasor e induzir a vítima a digitalizá-lo por meio de seu dispositivo móvel, ignorando efetivamente os filtros de URL do desktop e os controles de segurança corporativos.
A última descoberta demonstra como a sumarização pode emergir como uma superfície adversária. No início de março, a Permiso também revelou como um e-mail controlado por um invasor contendo instruções especialmente elaboradas, quando resumido pelo Microsoft Copilot, poderia influenciar sua saída por meio de uma injeção de prompt cruzado (XPIA) ou injeção de prompt indireto.
O que torna o ChatGPhish uma técnica de ataque digna de nota não é a injeção de alerta em si, mas a maneira como as instruções incorporadas em uma página da Web são seguidas e apresentadas ao usuário como parte do resumo.
Em outras palavras, uma página da web normal resumida com ChatGPT é suficiente para renderizar links de phishing, alertas de contas falsificadas, imagens remotas e códigos QR diretamente dentro de uma interface de IA confiável. À medida que as organizações usam cada vez mais o ChatGPT para pesquisa e resumo, esta vulnerabilidade significa que qualquer página da web maliciosa que um funcionário solicite ao chatbot de IA para processar pode conter uma carga útil que transforma o ChatGPT em uma superfície de phishing.
“A mudança do e-mail para o navegador expande significativamente a superfície de ataque potencial. Um usuário não precisa mais abrir um anexo malicioso ou interagir com uma mensagem suspeita”, disse Permiso. "Simplesmente resumir uma página durante a atividade normal de navegação pode introduzir instruções controladas pelo invasor no contexto do modelo e, finalmente, na resposta renderizada."
A divulgação ocorre no momento em que Adversa AI documenta duas técnicas de ataque codinome SymJack e TrustFall visando agentes de codificação de IA e CLIs de codificação de agente que permitem que os invasores obtenham a execução de código e o comprometimento total da máquina.
SymJack é “um padrão de ataque único [que] permite que um repositório malicioso obtenha execução remota de código por meio de assistentes de codificação de IA”, disse o pesquisador de segurança Rony Utevsky. “O agente é levado a uma cópia de arquivo de aparência benigna que sobrescreve secretamente sua própria configuração e, na próxima reinicialização, executa o código do invasor com privilégios totais de usuário.”
Especificamente, um repositório com armadilha engana o agente para que copie um arquivo aparentemente inofensivo, onde o destino é um link simbólico apontando para a configuração do próprio agente, fazendo com que a carga útil do invasor seja gravada na configuração. Na próxima reinicialização, um servidor Model Context Protocol (MCP) malicioso é gerado e executa código arbitrário com privilégios totais de usuário.
O TrustFall, por outro lado, é um ataque de execução remota de código com um clique por meio de um repositório malicioso que pode enviar uma configuração que aprova automaticamente e gera um servidor MCP sem a aprovação explícita do usuário ou sem exigir uma chamada de ferramenta do agente.
Em outras palavras, tudo o que um agente de ameaça precisa para realizar o ataque é criar um repositório que inclua um servidor MCP malicioso e definições de configuração que o aprovem automaticamente para execução. Quando um desenvolvedor clona ou abre o repositório na ferramenta de codificação de IA e pressiona “Enter” no prompt de confiança da pasta, a ferramenta de codificação de IA acaba lançando o código controlado pelo invasor com todos os privilégios de sistema do desenvolvedor.
“No momento em que uma vítima clona o repositório, executa Claude e clica na caixa de diálogo genérica ‘Sim, confio nesta pasta’, o servidor MCP inicia como um processo nativo do sistema operacional com privilégios totais de usuário”, observou Adversa AI. "A carga útil é executada na inicialização do servidor, antes de qualquer chamada de ferramenta e sem avisos adicionais."
As descobertas coincidem com a descoberta de uma série de métodos de ataque contra modelos de IA nos últimos meses -
O uso de uma nova abordagem de jailbreak chamada Aprendizagem Involuntária em Contexto (IICL) que "explora as dezenas
A técnica recebeu o codinome ChatGPhish da Permiso Security.
“O renderizador de resposta chatgpt.com confia em links Markdown e URLs de imagem Markdown originados de uma página de terceiros que o assistente acabou de resumir. Ele busca automaticamente essas imagens e exibe esses links como elementos clicáveis ao vivo dentro da interface do assistente confiável”, disse o pesquisador de segurança Andi Ahmeti em um relatório compartilhado com The Hacker News.
Em um cenário de ataque hipotético, um malfeitor pode anexar uma pequena carga útil a qualquer página da web que a vítima posteriormente solicitará ao ChatGPT para resumir, fazendo com que ele vaze seus detalhes de IP, agente do usuário e referenciador quando as imagens hospedadas pelo invasor incorporadas na página são buscadas automaticamente quando a resposta é renderizada.
Além disso, pode resultar na renderização de links Markdown maliciosos como elementos clicáveis ao vivo dentro da resposta do assistente, servir alertas de segurança de estilo de sistema muito falsos e servir um código QR do bucket S3 de um invasor e induzir a vítima a digitalizá-lo por meio de seu dispositivo móvel, ignorando efetivamente os filtros de URL do desktop e os controles de segurança corporativos.
A última descoberta demonstra como a sumarização pode emergir como uma superfície adversária. No início de março, a Permiso também revelou como um e-mail controlado por um invasor contendo instruções especialmente elaboradas, quando resumido pelo Microsoft Copilot, poderia influenciar sua saída por meio de uma injeção de prompt cruzado (XPIA) ou injeção de prompt indireto.
O que torna o ChatGPhish uma técnica de ataque digna de nota não é a injeção de alerta em si, mas a maneira como as instruções incorporadas em uma página da Web são seguidas e apresentadas ao usuário como parte do resumo.
Em outras palavras, uma página da web normal resumida com ChatGPT é suficiente para renderizar links de phishing, alertas de contas falsificadas, imagens remotas e códigos QR diretamente dentro de uma interface de IA confiável. À medida que as organizações usam cada vez mais o ChatGPT para pesquisa e resumo, esta vulnerabilidade significa que qualquer página da web maliciosa que um funcionário solicite ao chatbot de IA para processar pode conter uma carga útil que transforma o ChatGPT em uma superfície de phishing.
“A mudança do e-mail para o navegador expande significativamente a superfície de ataque potencial. Um usuário não precisa mais abrir um anexo malicioso ou interagir com uma mensagem suspeita”, disse Permiso. "Simplesmente resumir uma página durante a atividade normal de navegação pode introduzir instruções controladas pelo invasor no contexto do modelo e, finalmente, na resposta renderizada."
A divulgação ocorre no momento em que Adversa AI documenta duas técnicas de ataque codinome SymJack e TrustFall visando agentes de codificação de IA e CLIs de codificação de agente que permitem que os invasores obtenham a execução de código e o comprometimento total da máquina.
SymJack é “um padrão de ataque único [que] permite que um repositório malicioso obtenha execução remota de código por meio de assistentes de codificação de IA”, disse o pesquisador de segurança Rony Utevsky. “O agente é levado a uma cópia de arquivo de aparência benigna que sobrescreve secretamente sua própria configuração e, na próxima reinicialização, executa o código do invasor com privilégios totais de usuário.”
Especificamente, um repositório com armadilha engana o agente para que copie um arquivo aparentemente inofensivo, onde o destino é um link simbólico apontando para a configuração do próprio agente, fazendo com que a carga útil do invasor seja gravada na configuração. Na próxima reinicialização, um servidor Model Context Protocol (MCP) malicioso é gerado e executa código arbitrário com privilégios totais de usuário.
O TrustFall, por outro lado, é um ataque de execução remota de código com um clique por meio de um repositório malicioso que pode enviar uma configuração que aprova automaticamente e gera um servidor MCP sem a aprovação explícita do usuário ou sem exigir uma chamada de ferramenta do agente.
Em outras palavras, tudo o que um agente de ameaça precisa para realizar o ataque é criar um repositório que inclua um servidor MCP malicioso e definições de configuração que o aprovem automaticamente para execução. Quando um desenvolvedor clona ou abre o repositório na ferramenta de codificação de IA e pressiona “Enter” no prompt de confiança da pasta, a ferramenta de codificação de IA acaba lançando o código controlado pelo invasor com todos os privilégios de sistema do desenvolvedor.
“No momento em que uma vítima clona o repositório, executa Claude e clica na caixa de diálogo genérica ‘Sim, confio nesta pasta’, o servidor MCP inicia como um processo nativo do sistema operacional com privilégios totais de usuário”, observou Adversa AI. "A carga útil é executada na inicialização do servidor, antes de qualquer chamada de ferramenta e sem avisos adicionais."
As descobertas coincidem com a descoberta de uma série de métodos de ataque contra modelos de IA nos últimos meses -
O uso de uma nova abordagem de jailbreak chamada Aprendizagem Involuntária em Contexto (IICL) que "explora as dezenas
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #vulnerabilidade #do #chatgphish #transforma #resumos #da #web #do #chatgpt #em #uma #superfície #de #phishing
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário