jueves, octubre 30, 2025

ChatGPT Atlas: Client-Side Attack CSRF para Contaminar la Memoria con un Prompt Injection que te hackea tu Windows con Vibe Coding

Parece que no hay un día sin un Prompt Injection explotado en un Agentic AI o en un AI-First Web Browser, y la verdad es que tengo que buscar huecos para publicar otros temas en mi blog, porque a la velocidad que son descubiertos dan un poco de miedo. En este caso un ataque de CSRF sobre ChatGPT para "Contaminar" la Memory de la sesión y ejecutar un Prompt Injection que ataque al usuario. Mola todo.
El ataque ha sido publicado por los investigadores de LayerX y lo tienes publicado en el artículo: "ChatGPT Tainted Memories: LayerX Discovers The First Vulnerability in OpenAI Atlas Browser, Allowing Injection of Malicious Instructions into ChatGPT". En él se explica cómo se enlazan varios pasos para conseguir el objetivo final, ejecutar código directamente en la máquina de la víctima.
El ataque comienza con un ataque de ingeniería social, basado un Client Attack de Cross-Site Request Forgery (CSRF) que la víctima se encuentra en una web cualquiera, por ejemplo en un foro de Discord como podéis ver aquí en la demostración.
Lo que hace ese enlace es "Contaminar" la Memory de ChatGPT con un Prompt malicioso, enviando información no protegida contra CSRF en el servidor, ya que la URL con la que se consigue la actualización de la Memory de ChatGPT es predecible (Recomiendo que te estudies el libro de Hacking Web Applications: Client-Side Attacks de Enrique Rando que lo explica de maravilla).

Una vez que la Memory de ChatGPT ha sido contaminada, cuando el usuario ejecuta cualquier cosa en ChatGPT este Prompt Malicioso es ejecutado, llevando a que en la sesión del usuario, con sus credenciales se ejecuten los comandos que definió el atacante en el enlace.
La magia es que gracias al Vide Coding, el Prompt Injection puede crear un programa ejecutable en la máquina del cliente, por ejemplo para crear un script malicioso que ejecute programas, ponga música o abra fotografías. 
¿Cómo conseguir esto? Pues gracias a las capacidades de ChatGPT Atlas que permiten la ejecución de acciones en forma de script en el sistema donde están instalados para que el Agentic AI haga "cosas", como podéis ver en el siguiente vídeo publicado por los investigadores.
Una vez más, una forma sencilla e imaginativa de conectar los puntos para hacer Hacking & Pentesting con Inteligencia Artificial de una manera sencilla, en este caso, a víctimas elegidas del servicio de ChatGPT que explota una serie debilidades encadenadas para conseguir un ataque completo.
Al final, el ataque son unos segundos, y el Agentic AI hace todas estas acciones en nombre del usuario, así que si te roban cuentas de banco, cuentas de servicios digitales, redes sociales, etcétera, no vengas luego diciendo que tú no sabías, porque como os dije, queda claro en el disclaimer de ChatGPT Atlas.

Si quieres más ejemplos de esto, aquí tienes otros casos similares en AI First Web BrowsersAgentes AI en plataformas, y de grandes fabricantes de software:
Si te interesa la IA y la Ciberseguridad, tienes en este enlace todos los postspapers y charlas que he escrito, citado o impartido sobre este tema: +300 referencias a papers, posts y talks de Hacking & Security con Inteligencia Artificial.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


Publicado por Chema Alonso a las 7:01 a. m.

Etiquetas: , , , , , , , , , , , , , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

Entrada destacada

+300 referencias a papers, posts y talks de Hacking & Security con Inteligencia Artificial

Hace un mes comencé a recuperar en un post mi interés en los últimos años, donde he publicado muchos artículos en este blog , y he dejado mu...

Entradas populares