就在网络安全分析师警告企业不要安装 OpenAI 的新 Atlas 浏览器几天后，研究人员发现了一个漏洞，该漏洞允许攻击者利用恶意代码感染系统，获得访问权限或部署恶意软件。这一事件立即引发了人们对企业是否已准备好迎接 AI 原生浏览器的质疑。

LayerX Security 的研究人员透露，攻击者可以利用该漏洞将恶意指令直接注入用户的 ChatGPT 内存并可能执行远程代码，此后Atlas浏览器受到了严格审查。

为了防止攻击者利用该漏洞，LayerX 已向 OpenAI 报告了该漏洞，但未分享任何其他技术信息。

漏洞利用是如何进行的

该漏洞利用分为五个步骤。第一步，用户登录 ChatGPT，其浏览器中会保存一个身份验证 cookie 或令牌。下一步，用户点击一个恶意链接，该链接会将他们引导至一个受感染的网页，LayerX 联合创始人兼首席执行官 Or Eshed在一篇博客文章中解释道。

下一步，恶意页面会调用跨站请求伪造 ( CSRF ) 请求，利用用户预先存在的 ChatGPT 身份验证。第四步，CSRF 漏洞会在用户不知情的情况下将隐藏指令注入 ChatGPT 的内存，从而污染核心 LLM 内存。

第五步，当用户查询 ChatGPT 时，受污染的记忆就会被调用，从而允许部署恶意代码，使攻击者能够控制系统或代码。

ChatGPT 的记忆是一个有用的工具，旨在让 AI 聊天机器人记住用户的查询、聊天和活动、偏好、风格注释等细节，并以个性化和相关信息进行回应。

Ankura Consulting 印度分公司全球合伙人兼高级董事总经理Amit Jaju表示：“内存是账户级别的，并且会在会话、浏览器和设备之间持续存在，因此一次成功的诱饵攻击会跟随用户从家庭到办公室，从个人环境到公司环境。在 BYOD 或混合用途环境中，即使在重启或更换浏览器后，这种持续性攻击也会重新触发危险行为，从而将影响范围扩大到单个端点之外。当个人 ChatGPT 账户用于工作任务时，这种情况尤其令人担忧。”

Jaju 补充说，目前企业内部的采用率非常低。Atlas 刚刚发布，仅适用于 macOS，企业访问权限默认关闭。因此，其曝光度仅限于试点项目和未经批准的安装。但商业办公空间默认提供此功能，因此其推广到工作用途是合理的。

如何检测命中

在 ChatGPT Atlas 中检测基于内存的入侵与搜寻传统恶意软件不同。它不需要隔离文件、注册表项或可执行文件。相反，安全团队需要寻找行为异常，例如助手响应方式、建议内容以及执行时间的细微变化。

Greyhound Research 首席执行官兼首席分析师 Sanchit Vir Gogia 表示：“有一些线索，但它们并不常见。例如，一个助手突然开始提供带有出站 URL 的脚本，或者开始过于准确地预测用户意图，这可能依赖于注入的内存条目。当内存受到损害时，AI 可能会根据不准确的上下文采取行动。这应该是一个危险信号。 ”

他补充道，从取证角度来看，分析师需要重点关注浏览器日志、内存更改时间戳和提示响应序列的关联。导出和解析聊天记录至关重要。SOC团队应密切关注用户点击未知链接，随后出现异常内存更新或AI驱动的代理操作的序列。

由于这不是一个即插即用检测问题，因此补救和缓解措施首先应在企业版中默认禁用 Atlas。在商业领域，应将其限制在范围严格限定且包含非敏感数据的试点项目中。 

Jaju 补充说，在监控方面，企业应该添加针对 AI 建议代码、远程负载获取、ChatGPT 使用后的异常出口以及 SaaS 中的会话控制行为的检测。他还建议在新注册或未分类的域名上启用 Web 过滤功能。

一旦 Atlas 用户的记忆被盗，威胁就潜伏在云端身份中，而不是任何一台机器上。因此，应对措施必须从账户开始。必须清除记忆。凭证应该轮换。Gogia 指出，所有近期聊天记录都应进行审查，以查找篡改、隐藏逻辑或操纵任务流的迹象。

AI 浏览器安全吗？

除了发现漏洞外，LayerX还声称ChatGPT Atlas 无法阻止网络钓鱼攻击。在该公司进行的测试中，ChatGPT Atlas 的失败率超过 94%。在总共 103 次野外攻击中，有 97 次攻击成功。

该公司上个月测试的其他人工智能浏览器的结果并不乐观。Perplexity 的 Comet 和 Genspark 仅能阻止 7% 的网络钓鱼攻击，而只有 Arc 浏览器的 Dia 能够阻止约 46% 的攻击。另一方面，Edge 和 Chrome 等传统浏览器的防护功能相对较强，能够利用其开箱即用的保护措施阻止约 50% 的网络钓鱼攻击。