ChatGPT fue hackeado usando GPT personalizados que explotan la vulnerabilidad SSRF

El modelo de lenguaje grande ChatGPT de OpenAI corrigió una falla de seguridad detectada a principios de esta semana por un investigador en la función "Acciones" de las GPT personalizadas. Los atacantes podrían haber explotado un error de falsificación de solicitud del lado del servidor (SSRF) para exponerdentinternas en la nube del modelo de IA, según el investigador.

Como ingeniero de seguridad abierta y cazador de errores, SirLeeroyJenkins estaba creando su primer GPT personalizado y detectó una vulnerabilidad SSRF. La función "Acciones" permite a los usuarios defiAPI externas mediante esquemas OpenAPI para que la IA las invoque para tareas específicas, como la obtención de datos meteorológicos.

Mientras probaba su propia API, SirLeeroyJenkins descubrió que el sistema devolvía datos de una URL proporcionada por el usuario. Alarmado por este comportamiento, realizó más pruebas, sospechando un posible problema de SSRF.

"Cuando me di cuenta de que esta función podía devolver datos desde cualquier URL proporcionada por el usuario, me entró el instinto de hacker", dijo. "Tuve que buscar SSRF"

Una vulnerabilidad SSRF podría hacer que los GPT personalizados no sean seguros 

Como explicó Jenkins en su publicación de Medium a principios de esta semana, la falsificación de solicitudes del lado del servidor (Server-Side Request Forgery, por sus siglas en inglés) es una vulnerabilidad web que engaña a las aplicaciones para que realicen solicitudes a destinos no deseados. Si la aplicación no valida correctamente las URL proporcionadas por el usuario, los atacantes pueden usar los privilegios de acceso del servidor para acceder a redes internas o servicios de metadatos en la nube.

SSRF fue lo suficientemente frecuente como para aparecer en la lista OWASP Top 10 en 2021 y ahora ha ampliado su daño potencial porque las configuraciones predeterminadas inseguras en entornos de nube pueden exponer sistemas críticos.

Jenkins explicó que existen dos tipos principales de SSRF: de lectura completa y ciega. La SSRF de lectura completa devuelve datos del servicio objetivo directamente al atacante. Por otro lado, la SSRF ciega no revela la respuesta, pero permite la interacción con servicios internos, por ejemplo, mediante escaneo de puertos basado en tiempo.

Probó la vulnerabilidad apuntando la URL de la API al Servicio de metadatos de instancia de Azure (IMDS), que almacena credenciales confidenciales en la nubedentEl acceso a este servicio normalmente requiere el Metadata: True , por lo que se alarmó cuando sus primeros intentos no pudieron proporcionar el encabezado solicitado.

La función GPT personalizada bloqueó inicialmente la vulnerabilidad porque aplicaba URL HTTPS, mientras que Azure IMDS opera sobre HTTP. Mediante una redirección 302 desde un punto de conexión HTTPS externo a la URL de metadatos interna, el servidor siguió la redirección. Sin embargo, Azure bloqueó el acceso sin el encabezado requerido.

Dado que el servidor siguió redirecciones 302, devolvió la respuesta de su URL de metadatos interna. Misión cumplida, ¿verdad? Error. La respuesta de su servicio de metadatos indicó que no se estaba configurando un encabezado obligatorio, señaló SirLeeroyJenkins.

Tras continuar analizando las respuestas, la función permitió claves API personalizadas con nombres arbitrarios. Intentó nombrar una clave "Metadatos" con el valor "true", donde se inyectó el encabezado requerido para otorgar acceso GPT al servicio de metadatos.

Jenkins informó rápidamente la vulnerabilidad al programa Bugcrowd de OpenAI, y el problema se consideró de alta gravedad y luego se solucionó.

También mencionó que Open Security utilizó anteriormente este tipo de cadena de ataque SSRF para explotar una función vulnerable de generación de facturas en una importante empresa financiera global para auditoría de seguridad.

OpenAI lanza GPT-5.1 tras el revuelo de la versión 5.0

En otras noticias relacionadas con ChatGPT, OpenAI anunció el lanzamiento de GPT-5.1, alardeando de varias actualizaciones realizadas a partir de la versión 5.0 para mejorar el seguimiento de instrucciones y el razonamiento adaptativo. 

“¡GPT-5.1 ya está disponible! Es una actualización excelente. Me gustan especialmente las mejoras en el seguimiento de instrucciones y el pensamiento adaptativo. Las mejoras en inteligencia y estilo también son muy buenas”, escribió el director ejecutivo Sam Altman en X el miércoles por la noche.

El periodista especializado en tecnología Mehul Gupta comparó GPT-5.1 con su predecesor y observó que GPT-5, si bien es refinado y útil, a veces complica demasiado las tareas sencillas. Se supone que la versión instantánea de GPT-5.1 tenía una mejor comprensión y pausas adaptativas sutiles que proporcionaban respuestas más contextualizadas.

En una prueba, Gupta pidió a ambos modelos que respondieran en seis palabras. GPT-5 intentó explicarlo en exceso, mientras que GPT-5.1 ofreció una respuesta concisa y correcta. 

Altman también anunció que se han agregado 7 nuevos ajustes preestablecidos, incluidos Predeterminado, Amigable, Eficiente, Profesional, Sincero o Peculiar, pero los usuarios pueden elegir "ajustarlos ellos mismos"