「ChatGPT 污染記憶」漏洞的嚴重性

網路安全研究人員在OpenAI推出的新瀏覽器ChatGPT Atlas中發現了一個漏洞，該漏洞允許攻擊者將惡意指令直接注入使用者的 ChatGPT 會話記憶體。該漏洞被研究人員稱為「ChatGPT 污染記憶(註)」（ChatGPT Tainted Memories），允許攻擊者在用戶不知情的情況下執行遠端程式碼，攻擊用戶的帳戶、瀏覽器或連結系統。

註：

此漏洞之所以特別令人擔憂，是因Atlas瀏覽器與傳統瀏覽器相比，其內建的網路釣魚防護能力幾乎缺失。據LayerX Security研究人員稱，此漏洞尤其令人擔憂，因為據報導ChatGPT Atlas 幾乎沒有提供內建的網路釣魚保護，導致該瀏覽器用戶的攻擊風險比使用Google Chrome 或 Microsoft Edge 等標準瀏覽器的用戶高出 90%。
 

漏洞如何運作

此漏洞的根本問題在於AI瀏覽器的高度「代理能力」（Agentic Capabilities）。當使用者使用 ChatGPT Atlas 瀏覽時，瀏覽器會使用ChatGPT 的代理功能來理解網頁、匯總資訊並代表使用者採取行動。 LayerX 發現，攻擊者可以將隱藏的惡意指令嵌入瀏覽器處理的內容中。當 ChatGPT 將該內容解釋為其記憶或任務清單的一部分時，它可以執行使用者從未明確要求的操作，例如開啟帳戶、執行命令，甚至存取檔案。

這種攻擊機制避開了傳統瀏覽器的安全防線，利用了AI代理對網頁內容的信任和理解能力。由於攻擊不需要安裝惡意軟體或取得特殊權限，非技術使用者同樣容易受到影響。
 

記憶持續性與持久性立足點

「污染記憶」漏洞的危險性還在於其持久性。由於代理記憶功能會保留上下文，這種漏洞可能會在跨裝置或會話中持續存在。攻擊者無需單獨利用單一會話，他們就能獲得持久的立足點。

這代表著，惡意指令一旦被植入AI記憶中，即使使用者更換設備或重新開始會話，該指令仍可能被執行，使攻擊的影響範圍遠超過單一會話。對於組織而言，這開闢了一種新型的攻擊面：將瀏覽內容視為使用者指令，並據此採取行動的AI瀏覽器端點。
 

現在該做什麼

為減輕此類新興AI瀏覽器威脅，LayerX Security提出了以下實用且必要的防護措施：

1. 限制 AI 瀏覽器對敏感帳戶（電子郵件、銀行、工作憑證）的使用，直到對其安全性的信心增強為止。
2. 使用 AI 瀏覽器時避免點擊不熟悉的鏈接，並考慮使用標準瀏覽器執行關鍵任務。
3. 定期檢查瀏覽器記住的內容或代理程式採取的操作，並確保您識別它們。
4. 組織應該將任何 AI 瀏覽器視為高風險端點並實施額外的控制（最小特權、監控代理操作、限制上下文）。
5. 保持軟體更新並監控來自 OpenAI 的修補程式或有關 ChatGPT Atlas 的安全公告。

研究人員已透過負責任披露管道將此漏洞通報給OpenAI。由於問題源於Atlas瀏覽器讀取內容並將其作為AI記憶儲存的方式，有效的修復可能需要對底層機制進行根本性調整，而不僅僅是簡單的安全過濾器或修補程式。