ช่องโหว่ระดับ Critical ใน ChatGPT Atlas Browser ที่ OpenAI เพิ่งเปิดตัวใหม่ ทำให้ผู้โจมตีสามารถ inject คำสั่งที่เป็นอันตรายเข้าไปในหน่วยความจำของ ChatGPT และรันโค้ดจากระยะไกลบนระบบของผู้ใช้ได้

ช่องโหว่นี้ถูกค้นพบโดย LayerX โดยใช้ประโยชน์จากการโจมตีแบบ Cross-Site Request Forgery (CSRF) เพื่อเข้ายึดเซสชันที่ผ่านการ authentication ซึ่งอาจทำให้อุปกรณ์ติดมัลแวร์ หรือให้สิทธิ์การเข้าถึงโดยไม่ได้รับอนุญาต การค้นพบนี้แสดงให้เห็นถึงความเสี่ยงที่เพิ่มสูงขึ้นใน Agentic AI browsers ซึ่ง integrated LLMs เข้าไปด้วยนั้น ยิ่งขยายผลการโจมตีทางเว็บไซต์แบบดั้งเดิมให้รุนแรงขึ้น

ช่องโหว่ถูกรายงานไปยัง OpenAI ภายใต้โปรโตคอลการเปิดเผยข้อมูลอย่างรับผิดชอบ โดยช่องโหว่นี้จะส่งผลกระทบต่อผู้ใช้ ChatGPT ในทุกเบราว์เซอร์ แต่ก่อให้เกิดอันตรายร้ายแรงกว่าสำหรับผู้ที่ใช้ Atlas เนื่องจากระบบ always-on authentication และการป้องกันฟิชชิงที่แย่กว่า

การทดสอบของ LayerX แสดงให้เห็นว่า Atlas สามารถบล็อกความพยายามทำฟิชชิงได้เพียง 5.8% เท่านั้น เมื่อเทียบกับ Chrome และ Edge ที่บล็อกได้ 47-53% ซึ่งทำให้ผู้ใช้มีความเสี่ยงเพิ่มขึ้นถึง 90% แม้ว่า OpenAI จะยังไม่ได้เปิดเผยรายละเอียดแพตช์ต่อสาธารณะ แต่ผู้เชี่ยวชาญเรียกร้องให้มีมาตรการลดผลกระทบทันที เช่น การปรับปรุงการตรวจสอบ Token

วิธีการใช้ช่องโหว่ CSRF โจมตี ChatGPT Memory

การโจมตีเริ่มต้นขึ้นเมื่อผู้ใช้ล็อกอินเข้าสู่ ChatGPT ซึ่งมีการจัดเก็บคุกกี้ หรือ Token สำหรับการ authentication ไว้ในเบราว์เซอร์ ผู้โจมตีจะหลอกเหยื่อไปยังหน้าเว็บที่เป็นอันตรายผ่านลิงก์ฟิชชิง ซึ่งจะส่ง CSRF request โดยใช้ประโยชน์จากจากเซสชันที่ใช้อยู่

Request ที่ถูกปลอมแปลงนี้จะ injects คำสั่งที่ซ่อนอยู่เข้าไปในฟีเจอร์ “Memory” ของ ChatGPT ซึ่งออกแบบมาเพื่อรักษาการตั้งค่า และ context ในแต่ละเซสชัน โดยไม่จำเป็นต้องสั่งการซ้ำอย่างชัดเจน

ไม่เหมือนกับผลกระทบของ CSRF แบบทั่วไป เช่น unauthorized transactions โดยมุ่งเป้าไปที่ระบบ AI ด้วยการโจมตีไปยัง “หน่วยความจำถาวร” ของ LLM

เมื่อคำสั่งอันตรายถูก injects ลงไปแล้ว มันจะถูกสั่งให้ทำงานระหว่างการป้อนคำสั่งตามปกติ ทำให้ ChatGPT สร้างผลลัพธ์ที่เป็นอันตราย เช่น การเรียกใช้โค้ดจากเซิร์ฟเวอร์ที่ผู้โจมตีควบคุมอยู่ การโจมตีนี้จะยังคงดำเนินต่อไปในอุปกรณ์ หรือเบราว์เซอร์ใดก็ตามที่ผูกอยู่กับบัญชี ทำให้การตรวจจับ และการแก้ไขมีความซับซ้อนมากขึ้น

Diagram นี้แสดงให้เห็นถึงขั้นตอนการโจมตี ตั้งแต่การขโมยข้อมูล credential ไปจนถึงการแทรกคำสั่งเข้าสู่หน่วยความจำ และการสั่งรันโค้ดจากระยะไกล

การเข้าสู่ระบบ ChatGPT แบบเริ่มต้นของ Atlas ทำให้ข้อมูล credentials พร้อมใช้งานอยู่เสมอ ซึ่งช่วยให้การโจมตีแบบ CSRF ทำได้ง่ายขึ้น โดยไม่จำเป็นต้องทำฟิชชิงเพื่อขโมย Token เพิ่มเติม

LayerX ได้ประเมิน Atlas เทียบกับการโจมตีจริง 103 ครั้ง พบว่าประสบความสำเร็จ 94.2% ซึ่งแย่กว่าคู่แข่งอย่าง Comet ของ Perplexity อย่างมาก ที่สามารถสกัดกั้นการโจมตีได้ถึง 93% ในการทดสอบก่อนหน้านี้ สาเหตุนี้เกิดจากการขาดการป้องกันในตัว ทำให้เบราว์เซอร์กลายเป็นช่องทางหลักสำหรับภัยคุกคามเฉพาะด้าน AI เช่น prompt injection

งานวิจัยในวงกว้างก็สะท้อนข้อกังวลเหล่านี้เช่นกัน การวิเคราะห์เบราว์เซอร์ AI ของ Brave ซึ่งรวมถึง Atlas ได้เปิดเผยถึงการโจมตีแบบ indirect prompt injection ที่แทรกคำสั่งไว้ในหน้าเว็บเพจ หรือภาพหน้าจอ ซึ่งนำไปสู่การขโมยข้อมูล หรือการดำเนินการที่ไม่ได้รับอนุญาต

ฟีเจอร์ที่ทำงานแบบ Agentic ของ OpenAI ซึ่งช่วยให้สามารถทำงานได้อย่างอิสระ ทำให้ความเสี่ยงรุนแรงขึ้น ด้วยการมอบอำนาจการตัดสินใจให้แก่ AI เหนือข้อมูล และระบบของผู้ใช้

Proof-of-Concept : ‘Vibe Coding’ ที่เป็นอันตราย

ในสถานการณ์จำลองการโจมตี ผู้โจมตีมุ่งเป้าไปที่ “vibe coding” ซึ่งเป็นรูปแบบที่นักพัฒนาใช้งาน AI ในโปรเจกต์ แทนที่การเขียนโค้ดแบบ rigid syntax

คำสั่งที่ถูกแทรกเข้าไปในหน่วยความจำนี้จะเปลี่ยนแปลงผลลัพธ์อย่างแนบเนียน โดยแทรก backdoors หรือโค้ดสำหรับขโมยข้อมูลไว้ในสคริปต์ที่ถูกสร้างขึ้น เช่น การดึงมัลแวร์จากเซิร์ฟเวอร์อย่าง “server.

คริปโทเคอร์เรนซีมูลค่ากว่า 300 ล้านดอลลาร์สหรัฐ ที่เกี่ยวข้องกับอาชญากรรมไซเบอร์ และการฉ้อโกง ถูกอายัดไว้จากความร่วมมือระหว่างหน่วยงานบังคับใช้กฎหมาย และบริษัทเอกชน ผ่านการดำเนินงานที่แยกกันอย่างอิสระ

หนึ่งในปฏิบัติการสำคัญคือโครงการ T3+ Global Collaborator Program ที่จัดตั้งขึ้นโดยหน่วยงาน T3 Financial Crime Unit (T3 FCU) ซึ่งเป็นโครงการระหว่าง TRM Labs, TRON และ Tether และเริ่มดำเนินการเมื่อราวหนึ่งปีก่อน โดยมี Binance ในฐานะสมาชิกอย่างเป็นทางการรายแรก โดยทั้งหมดล้วนเป็นองค์กรชั้นนำในแวดวงบล็อกเชน

TRM Labs เปิดเผยว่า ตั้งแต่เริ่มโครงการในเดือนกันยายน 2024 เป็นต้นมา ได้มีการอายัดทรัพย์สินที่เกี่ยวข้องกับอาชญากรรมทั่วโลกมูลค่ากว่า 250 ล้านดอลลาร์สหรัฐ โดยในจำนวนนี้มีเงิน 6 ล้านดอลลาร์สหรัฐที่ถูกอายัดจากความร่วมมือกับ Binance เพื่อปราบปรามกลโกงแบบ Romance Baiting

นอกจากนี้ TRM Labs ยังรายงานว่า หน่วยงาน T3 FCU ได้ทำงานอย่างใกล้ชิดกับหน่วยงานบังคับใช้กฎหมายทั่วโลก ตั้งแต่ก่อตั้งในเดือนกันยายน 2024 โดยได้ตรวจสอบธุรกรรมหลายล้านรายการในห้าทวีป และติดตามการเคลื่อนไหวทางการเงินรวมกว่า 3 พันล้านดอลลาร์สหรัฐ เพื่อขัดขวางเครือข่ายอาชญากรรมอย่างมีประสิทธิภาพ

ตลอดระยะเวลาการดำเนินงาน T3 FCU มีบทบาทสำคัญในการสนับสนุนการสอบสวนคดีฟอกเงิน, ฉ้อโกงการลงทุน, การข่มขู่เรียกทรัพย์, การจัดหาเงินทุนแก่การก่อการร้าย และอาชญากรรมทางการเงินขั้นรุนแรงอื่น ๆ ทั่วโลก

ปฏิบัติการครั้งที่สองนี้เกิดขึ้นจากการร่วมมือระหว่างสหรัฐอเมริกา และแคนาดา โดยได้รับการสนับสนุนจากผู้เชี่ยวชาญด้านข่าวกรองบล็อกเชนของ Chainalysis

ความร่วมมือครั้งนี้นำไปสู่การปฏิบัติการสำคัญ 2 โครงการ ได้แก่ "Project Atlas" ซึ่งนำโดยตำรวจออนแทรีโอ (OPP) และ "Operation Avalanche" ซึ่งนำโดยคณะกรรมการกำกับหลักทรัพย์ของบริติชโคลัมเบีย (BCSC) โดยทั้งสองปฏิบัติการนี้ได้ใช้ข้อมูลวิเคราะห์จาก Chainalysis ในการติดตามเงินที่ได้จากการหลอกลวง

ตามรายงานจากแพลตฟอร์มข้อมูลบล็อกเชน การสืบสวนในช่วงหกเดือนที่ผ่านมาได้ค้นพบความสูญเสียจากการฉ้อโกงหลายรูปแบบรวมมูลค่ากว่า 74.3 ล้านดอลลาร์สหรัฐ ซึ่งส่วนใหญ่ถูกอายัดไว้แล้ว

Chainalysis ระบุในแถลงการณ์ว่า “โครงการ Atlas ซึ่งดำเนินการจากแคนาดาแต่มีขอบเขตการทำงานระดับโลก สามารถระบุที่อยู่กระเป๋าเงินคริปโทเคอร์เรนซีที่เกี่ยวข้องกับเหยื่อการฉ้อโกงกว่า 2,000 แห่งใน 14 ประเทศ รวมถึงแคนาดา, สหรัฐอเมริกา, ออสเตรเลีย, เยอรมนี และสหราชอาณาจักร”

“ด้วยความร่วมมือโดยตรงกับ Tether บริษัทสามารถบล็อกเงิน USDT มูลค่ากว่า 50 ล้านดอลลาร์สหรัฐ ทำให้มิจฉาชีพไม่สามารถเคลื่อนย้าย หรือแปลงสินทรัพย์ที่ถูกขโมยเหล่านี้ได้”

ทั้งสองปฏิบัติการ ผสานการสืบสวนอย่างเข้มข้นควบคู่กับความร่วมมือในระดับโลกอย่างเป็นระบบ เพื่อจับตา และเข้าแทรกแซงในระดับบล็อกเชน ส่งผลให้การเคลื่อนย้าย หรือใช้จ่ายเงินที่ได้จากการฉ้อโกงของอาชญากรไซเบอร์ถูกจำกัดลงอย่างมาก

ที่มา : bleepingcomputer.