W niedługim czasie po premierze przeglądarki ChatGPT Atlas, eksperci ds. cyberbezpieczeństwa odkryli poważne luki w zabezpieczeniach nowego produktu od OpenAI. Badacze z firm LayerX Security i NeuralTrust wykazali, iż atakujący mogą wykorzystać podatności do “wstrzyknięcia” złośliwych instrukcji do pamięci AI, co pozwala na przejęcie kontroli nad kontem użytkownika, kradzież wrażliwych danych, a choćby instalację malware – wszystko bez wiedzy ofiary.
OpenAI zaprezentowało ChatGPT Atlas 21 października 2025 roku jako przeglądarkę internetową z wbudowanym chatbotem AI. Produkt, który na razie dostępny jest jedynie na macOS (wersje na Windows, iOS i Android mają pojawić się wkrótce), miał stanowić bezpośrednią konkurencję dla Google Chrome i innych tradycyjnych przeglądarek. Atlas oferuje funkcje takie jak “pamięć przeglądarki”, która zapamiętuje szczegóły z odwiedzanych stron, oraz eksperymentalny “tryb agenta” dla płatnych subskrybentów, pozwalający na autonomiczne wykonywanie zadań online – od rezerwacji hoteli po tworzenie dokumentów.
Jednak entuzjazm gwałtownie ustąpił miejsca obawom o bezpieczeństwo. Firma LayerX Security odkryła pierwszą poważną lukę, którą ochrzczono mianem “Tainted Memories” (Skażone Wspomnienia). Atak ów wykorzystuje podatność typu Cross-Site Request Forgery (CSRF), która pozwala hakerom “wstrzyknąć” złośliwe instrukcje bezpośrednio do pamięci ChataGPT. Mechanizm działania jest niepokojąco prosty: zalogowany użytkownik zostaje nakłoniony do kliknięcia złośliwego linku, który w tle wyzwala żądanie CSRF wykorzystujące aktywną sesję użytkownika. W ten sposób, bez jego wiedzy, do pamięci AI trafiają ukryte polecenia, które będą wykonywane podczas normalnego korzystania z przeglądarki. Michelle Levy, szefowa ds. badań bezpieczeństwa w LayerX Security, podkreśla:
“To, co czyni ten exploit wyjątkowo niebezpiecznym, to fakt, iż atakuje on trwałą pamięć AI, a nie tylko sesję przeglądarki. Poprzez połączenie standardowego CSRF z zapisem do pamięci, atakujący może niewidocznie zasadzić instrukcje, które przetrwają na różnych urządzeniach, sesjach, a choćby różnych przeglądarkach”.
Co gorsza, badania LayerX ujawniły, iż ChatGPT Atlas praktycznie nie posiada zabezpieczeń anty-phishingowych. W testach obejmujących ponad 100 rzeczywistych ataków phishingowych i luk w zabezpieczeniach stron internetowych, Atlas zatrzymał zaledwie 5,8% złośliwych stron. Dla porównania – Microsoft Edge zablokował 53% ataków, Google Chrome 47%, a konkurencyjna przeglądarka AI o nazwie Dia aż 46%. Oznacza to, iż użytkownicy Atlasa są narażeni na ataki niemal o 90% bardziej niż użytkownicy tradycyjnych przeglądarek. Problem jest szczególnie istotny dla użytkowników Atlasa, ponieważ są oni domyślnie zalogowani do ChataGPT, co czyni ich łatwiejszym celem dla ataków CSRF.
Równolegle, zespół badawczy z NeuralTrust zidentyfikował inną lukę związaną z omniboksem przeglądarki (połączonym paskiem adresu i wyszukiwania). Okazało się, iż można “złamać” system bezpieczeństwa, maskując złośliwe polecenia jako pozornie niegroźne adresy URL. Gdy użytkownik wkleja taki spreparowany ciąg znaków do paska adresu, Atlas traktuje go jako zaufaną komendę użytkownika, poddając ją mniejszej liczbie kontroli bezpieczeństwa niż treści pochodzące ze stron internetowych. Marti Jorda, badacz AI z NeuralTrust, wyjaśnia:
“Ta luka jest poważna, ponieważ jest łatwa w wykorzystaniu. Spreparowany ciąg znaków może być osadzony w przycisku ‘skopiuj link’ lub kodzie QR. choćby przypadkowe uruchomienie jest możliwe, jeżeli użytkownik wklei zniekształcony tekst. Po dostaniu się do omniboksu, agent traktuje go jako zaufaną intencję użytkownika”.
Skala potencjalnych zagrożeń jest szeroka i niepokojąca. Badacze z LayerX zademonstrowali scenariusz ataku na programistów wykorzystujących “vibe coding” – współpracę z AI przy tworzeniu kodu. W ich teście skażona pamięć ChataGPT sprawiła, iż podczas normalnej prośby o napisanie kodu, asystent AI wstawił ukryte instrukcje pobierające i uruchamiające złośliwy kod z serwera kontrolowanego przez atakującego. Inne możliwe scenariusze obejmują przejęcie kontroli nad kontami bankowymi użytkowników, kradzież haseł zapisanych w przeglądarce, czy eksfiltrację poufnych danych firmowych. Problem dotyczy nie tylko Atlasa – eksperci ostrzegają, iż cała kategoria przeglądarek AI jest podatna na ataki typu “indirect prompt injection” (pośrednie wstrzykiwanie promptów), gdzie złośliwe instrukcje ukryte w treści stron internetowych – jako biały tekst na białym tle, w komentarzach HTML czy choćby w obrazach – mogą wprowadzić AI w błąd.
