Una nuova vulnerabilità è stata scoperta nel browser ChatGPT Atlas di OpenAI, sollevando preoccupazioni importanti sulla sicurezza delle piattaforme basate su intelligenza artificiale. Secondo i ricercatori di sicurezza informatica, questo exploit sfrutta una falla di tipo CSRF (Cross-Site Request Forgery) per inserire istruzioni malevole direttamente nella memoria persistente dell’assistente AI, consentendo esecuzione di codice arbitrario e potenzialmente permettendo accesso non autorizzato, infezione da malware e compromissione degli account degli utenti.

La memoria persistente, introdotta da OpenAI nel 2024, permette a ChatGPT di ricordare dettagli rilevanti tra una sessione e l’altra per offrire risposte più personalizzate. Tuttavia, proprio questa funzione può essere trasformata in un’arma potentissima: una volta che un aggressore è riuscito a “contaminare” la memoria, le istruzioni malevole rimangono attive e si attivano anche su dispositivi e sessioni differenti, senza che l’utente se ne accorga. Questo rende l’attacco particolarmente insidioso, poiché non si limita alla singola sessione di browsing, ma accompagna l’utente nelle sue interazioni future con ChatGPT.

Il meccanismo dell’attacco

Il meccanismo dell’attacco prevede che la vittima sia autenticata su ChatGPT e venga indotta tramite tecniche di social engineering a visitare un link malevolo. In seguito, viene eseguita una richiesta CSRF che sfrutta l’autenticazione attiva per inserire istruzioni nascoste nella memoria dell’AI. Ogni successivo utilizzo “normale” di ChatGPT può quindi innescare esecuzioni di codice, escalation di privilegi o esfiltrazione di dati, senza allertare le protezioni di sicurezza.

Difese e rischi aggiuntivi

Le difese del browser ChatGPT Atlas risultano particolarmente deboli rispetto ai browser tradizionali come Chrome o Edge: nei test di laboratorio, Atlas e altri browser AI hanno bloccato meno del 10% delle pagine web malevole, mentre Chrome ed Edge hanno superato il 45%. Questo lascia gli utenti di Atlas notevolmente più esposti a phishing e attacchi web avanzati.

Il rischio si estende anche agli sviluppatori: una richiesta apparentemente innocua di scrivere codice potrebbe permettere all’agente AI di inserire istruzioni nascoste in fase di sviluppo. Inoltre, la crescente integrazione tra browser, intelligenza artificiale e identità digitali crea un nuovo “superficie di attacco” che le aziende dovranno considerare come infrastruttura critica.

Mitigazione e raccomandazioni

Per mitigare il rischio, è fondamentale che gli utenti eliminino manualmente le memorie compromesse dalle impostazioni di ChatGPT. Questo caso dimostra come le vulnerabilità nei sistemi AI possano trasformare funzionalità utili in vettori di attacco persistenti e difficili da rilevare.