ChatGPT violato utilizzando GPT personalizzati che sfruttano la vulnerabilità SSRF

Il modello linguistico di grandi dimensioni ChatGPT di OpenAI ha corretto una falla di sicurezza scoperta all'inizio di questa settimana da un ricercatore nella funzionalità "Azioni" dei GPT personalizzati. Gli aggressori avrebbero potuto sfruttare un bug di falsificazione delle richieste lato server (SSRF) per esporredentinterne al cloud del modello di intelligenza artificiale, ha affermato il ricercatore.

In qualità di Open Security Engineer e bug hunter, SirLeeroyJenkins stava creando il suo primo GPT personalizzato e ha "intuito" la presenza di una vulnerabilità SSRF. La funzionalità "Azioni" consente agli utenti di defiAPI esterne utilizzando schemi OpenAPI, che l'IA può richiamare per attività specifiche, come il recupero di dati meteorologici.

Durante il test della sua API, SirLeeroyJenkins ha scoperto che il sistema restituiva dati da un URL fornito dall'utente. Allarmato da questo comportamento, ha condotto ulteriori test, sospettando un potenziale problema con SSRF.

"Quando ho capito che questa funzionalità poteva restituire dati da qualsiasi URL fornito dall'utente, l'istinto hacker è entrato in azione", ha detto. "Ho dovuto verificare la presenza di SSRF."

La vulnerabilità SSRF potrebbe rendere non sicuri i GPT personalizzati 

Come spiegato da Jenkins nel suo articolo su Medium pubblicato all'inizio di questa settimana, la Server-Side Request Forgery (SSR) è una vulnerabilità web che induce le applicazioni a effettuare richieste verso destinazioni non previste. Se l'applicazione non convalida correttamente gli URL forniti dall'utente, gli aggressori possono utilizzare i privilegi di accesso del server per raggiungere reti interne o servizi di metadati cloud.

SSRF era sufficientemente diffuso da entrare nella lista OWASP Top 10 nel 2021 e ora ha ampliato il suo potenziale danno perché le configurazioni predefinite non sicure negli ambienti cloud possono esporre i sistemi critici.

Jenkins ha spiegato che esistono due tipi principali di SSRF: full-read e blind. L'SSRF full-read restituisce i dati dal servizio di destinazione direttamente all'attaccante. Allo stesso tempo, l'SSRF blind non rivela la risposta, ma consente comunque di interagire con i servizi interni, ad esempio tramite la scansione delle porte basata sul timing.

Ha testato la vulnerabilità puntando l'URL dell'API al servizio di metadati delle istanze di Azure (IMDS), che memorizza credenziali cloud sensibilidentL'accesso a questo servizio normalmente richiede l' Metadata: True , quindi si è allarmato quando i suoi primi tentativi non sono riusciti a fornire l'intestazione come richiesto.

Inizialmente, la funzionalità GPT personalizzata ha bloccato l'exploit perché imponeva URL HTTPS, mentre Azure IMDS opera su HTTP. Utilizzando un reindirizzamento 302 da un endpoint HTTPS esterno all'URL dei metadati interni, il server ha seguito il reindirizzamento. Tuttavia, Azure ha bloccato l'accesso senza l'intestazione richiesta.

"Dato che il server ha seguito i reindirizzamenti 302, ha restituito la risposta dal loro URL interno dei metadati. Missione compiuta, giusto? Sbagliato. La risposta dal loro servizio di metadati indicava che non era stata impostata un'intestazione richiesta", ha affermato SirLeeroyJenkins.

Dopo aver continuato a sondare le risposte, la funzionalità consentiva chiavi API personalizzate che potevano essere denominate arbitrariamente. Ha provato a denominare una chiave Metadata con il valore true, dove l'intestazione richiesta veniva iniettata per concedere l'accesso GPT al servizio metadati.

Jenkins ha prontamente segnalato la vulnerabilità al programma Bugcrowd di OpenAI, che ha assegnato al problema un livello di gravità elevato e lo ha poi corretto.

Ha anche menzionato che Open Security aveva già utilizzato questo tipo di catena di attacchi SSRF per sfruttare una funzionalità vulnerabile di generazione di fatture presso una grande società finanziaria globale a fini di audit di sicurezza.

OpenAI rilascia GPT-5.1 dopo i problemi della versione 5.0

Tra le altre novità relative a ChatGPT, OpenAI ha annunciato il lancio di GPT-5.1, che vanta diversi aggiornamenti rispetto alla versione 5.0 per migliorare la capacità di seguire le istruzioni e il ragionamento adattivo. 

"GPT-5.1 è disponibile! È un ottimo aggiornamento. Apprezzo in particolare i miglioramenti nella capacità di seguire le istruzioni e nel pensiero adattivo. Anche i miglioramenti all'intelligenza e allo stile sono validi", ha scritto il CEO Sam Altman su X mercoledì sera.

Lo scrittore di tecnologia Mehul Gupta ha testato GPT-5.1 confrontandolo con il suo predecessore, notando che GPT-5, pur essendo ben rifinito e utile, a volte complica eccessivamente compiti semplici. La versione istantanea di GPT-5.1 avrebbe una migliore comprensione e sottili pause adattive che forniscono risposte più "consapevoli del contesto".

In un test, Gupta ha chiesto a entrambi i modelli di rispondere in sei parole. GPT-5 ha tentato di dare spiegazioni eccessive, mentre GPT-5.1 ha fornito una risposta concisa e corretta. 

Altman ha inoltre annunciato che sono stati aggiunti 7 nuovi preset, tra cui Predefinito, Amichevole, Efficiente, Professionale, Sincero o Stravagante, ma gli utenti possono scegliere di "regolarli autonomamente"