OpenAI Atlas Omnibox Prompt Injection
A NeuralTrust blogbejegyzése szerint az OpenAI Atlas böngészőjében komoly biztonsági rést találtak, amely lehetővé teszi, hogy támadók ártalmas utasításokat rejtsenek el URL-szerű szövegekben. Az Atlas omnibox-a – azaz a címsor és keresősáv egyben – úgy működik, hogy a felhasználó beírt vagy beillesztett szöveget vagy URL-ként értelmezi, vagy természetes nyelvű parancsként kezelheti. A probléma az, hogy ha a szöveg nem felel meg az URL-validációs szabályoknak, az Atlas nem URL-ként, hanem felhasználói szándékként, azaz megbízható parancsként értelmezi, és így kevésbé szigorú biztonsági ellenőrzésnek vetik alá.
A NeuralTrust kutatói kimutatták, hogy egy gondosan megformált, URL-re emlékeztető szöveg – például egy hamis Másolás a hivatkozáshoz gomb mögé rejtett link – átverheti a rendszert, és a böngésző a benne rejlő utasításokat végrehajtja. Például egy ilyen link tartalmazhat olyan parancsot, hogy menj a Google Drive-ra, és töröld az Excel-fájlokat, vagy átirányíthat egy hamis bejelentkező oldalra, ahol a felhasználó hitelesítő adatai kiszivároghatnak. Mivel az omniboxba beillesztett szöveget a rendszer felhasználói szándékként kezelik, a biztonsági mechanizmusok nem ellenőrzik eléggé, így a támadók könnyebben kijátszhatják a védelmet.
A kutatók szerint a fő probléma az, hogy az Atlas nem elég szigorúan választja szét a megbízható felhasználói bevitelt és a nem megbízható tartalmat. Ezért javasolják, hogy az omniboxba beírt parancsokat alapértelmezetten ne kezeljék megbízhatónak, és ne engedjék át a hibás URL-validációt. Az OpenAI eddig nem nyilatkozott részletesen a problémáról, de a biztonsági közösség szerint ez a sebezhetőség komoly kockázatot jelent a felhasználók adatai és biztonsága szempontjából. A NeuralTrust 2025. október 24-én tett közzé a felfedezéséről, és hangsúlyozza, hogy a problémát minél előbb javítani kell, mielőtt széles körben kizsákmányolják.
