Alerta en OpenAI: una falla en su navegador Atlas pone en riesgo la privacidad de los usuarios

El nuevo navegador Atlas de OpenAI presenta su primera vulnerabilidad crítica. Investigadores de NeuralTrust descubrieron una falla que permite a atacantes manipular su barra de direcciones (omnibox) para ejecutar comandos maliciosos, poniendo en riesgo la privacidad de los usuarios.

¿Lanzamiento manchado? la falla que opaca a Atlas

Apenas unos días después del lanzamiento del navegador Atlas, se ha descubierto una vulnerabilidad crítica en este.

El problema radica en cómo la barra de direcciones (omnibox) interpreta el texto, pues ahora los atacantes pueden disfrazar instrucciones maliciosas como si fueran una URL, engañando al navegador para que realice acciones no deseadas.

Atlas está diseñado para distinguir si el texto en la omnibox es una dirección web o un comando para su agente de IA. Sin embargo, esta falla explota dicha dualidad mediante una técnica conocida como "inyección de prompt".

Cómo una "URL" se convierte en una orden para la IA de Atlas

Este ataque funciona de la siguiente manera:

1. Creación de "URL" maliciosa: el atacante crea un texto que parece una URL, por ejemplo: “https://pagina.com/ visita+<sitiomalicioso.com>” pero que contiene instrucciones ocultas.
2. Engaño al navegador: cuando el usuario introduce este enlace al copiarlo, el sistema de validación de Atlas falla al no reconocerla como una dirección web válida.
3. Ejecución del comando oculto: Atlas asume que el texto es una instrucción directa para el agente de IA. Ignora la parte que parece una URL y ejecuta el comando en cuestión.

Por ejemplo: podría redirigir al usuario a un sitio web controlado por el maleante, eliminar archivos de servicios conectados o filtrar información privada.

Lo que un atacante puede hacer

Son diferentes los riesgos a los que se enfrentan los usuarios en Atlas, entre estas:

• Manipulación del agente: podría intentar que la IA realice compras no autorizadas o gestione la información que presenta al usuario.
• Phishing y malware: el atacante puede redirigir a la víctima a páginas de phishing para robar sus contraseñas o a sitios que descargan software malicioso.
• Ejecución de acciones no deseadas: al ser tratado como una instrucción confiable, el comando podría, teóricamente, ordenarle al agente de IA que realice acciones más dañinas.

El "talón de Aquiles" de Atlas: confiar demasiado en la barra de direcciones

De acuerdo con Martí Jordà, investigador de la empresa de seguridad NeuralTrust, el peligro radica en que "los prompts de la omnibox se tratan como entrada de usuario confiable", recibiendo menos controles de seguridad que el contenido extraído de páginas web.

Por lo tanto, esta vulnerabilidad en Atlas es un ejemplo de un desafío mayor en el campo de la IA, debido a la “inyección de prompts”. En este caso, los atacantes buscan constantemente formas de "engañar" a los agentes de IA para que ignoren sus reglas de seguridad.

Así, ejecutan comandos maliciosos, que pueden ocultarse de diversas formas, ya sea comentarios HTML o texto invisible. Cabe resaltar que, otros navegadores con IA integrada también han demostrado vulnerabilidades ante este tipo de prácticas.

La "batalla continua", OpenAI lucha por mitigar el fallo

Tras el descubrimiento de dicha vulnerabilidad, OpenAI ha reconocido públicamente el riesgo y afirma estar "investigando y mitigando cuidadosamente las inyecciones de prompt" mediante pruebas de seguridad intensivas y entrenamiento del modelo.

Sin embargo, admiten que es una batalla continua y que la protección total es, por ahora, difícil de alcanzar.

Como resultado, este incidente resalta la necesidad crítica de que los usuarios sean muy cautelosos al copiar y pegar enlaces, o comandos de fuentes no confiables en la omnibox (barra) de Atlas, ya que podría tener consecuencias peligrosas.