ChatGPT invadido usando GPTs personalizados explorando vulnerabilidade SSRF

O ChatGPT, modelo de linguagem de grande escala da OpenAI, corrigiu uma falha de segurança descoberta no início desta semana por um pesquisador na funcionalidade "Ações" dos GPTs personalizados. Segundo o investigador, os atacantes poderiam ter explorado uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) para expordentinternas na nuvem do modelo de IA.

Como Engenheiro de Segurança Aberta e caçador de bugs, SirLeeroyJenkins estava criando seu primeiro GPT personalizado quando "sentiu" a existência de uma vulnerabilidade SSRF. O recurso Ações permite que os usuários defiAPIs externas usando esquemas OpenAPI para que a IA as chame para tarefas específicas, como buscar dados meteorológicos.

Ao testar sua própria API, SirLeeroyJenkins descobriu que o sistema retornava dados de uma URL fornecida pelo usuário. Alarmado com esse comportamento, ele realizou mais testes, suspeitando de um possível problema de SSRF (Ataque de Resgate de Site-Foguete).

“Assim que percebi que esse recurso podia retornar dados de qualquer URL fornecida pelo usuário, meu instinto de hacker entrou em ação”, disse ele. “Tive que verificar se havia alguma vulnerabilidade SSRF.”

A vulnerabilidade SSRF pode tornar os GPTs personalizados inseguros 

Conforme explicado por Jenkins em sua publicação no Medium no início desta semana, a falsificação de requisição do lado do servidor (Server-Side Request Forgery - SRF) é uma vulnerabilidade da web que engana aplicativos, fazendo com que eles enviem requisições para destinos não intencionais. Se o aplicativo não validar corretamente as URLs fornecidas pelo usuário, os atacantes podem usar os privilégios de acesso do servidor para alcançar redes internas ou serviços de metadados na nuvem.

O SSRF era tão prevalente que entrou na lista OWASP Top 10 em 2021 e agora expandiu seu potencial de dano porque configurações padrão inseguras em ambientes de nuvem podem expor sistemas críticos.

Jenkins explicou que existem dois tipos principais de SSRF: leitura completa e cega. O SSRF de leitura completa retorna dados do serviço alvo diretamente para o atacante. Já o SSRF cego não revela a resposta, mas ainda permite a interação com serviços internos, por exemplo, por meio de varredura de portas baseada em tempo.

Ele testou a vulnerabilidade apontando a URL da API para o Serviço de Metadados de Instância (IMDS) do Azure, que armazena credenciais confidenciais da nuvemdentO acesso a esse serviço normalmente requer o Metadata: True , então ele ficou alarmado quando suas tentativas iniciais não conseguiram fornecer o cabeçalho conforme solicitado.

O recurso GPT personalizado inicialmente bloqueou a exploração porque impunha URLs HTTPS, enquanto o Azure IMDS opera em HTTP. Usando um redirecionamento 302 de um endpoint HTTPS externo para a URL de metadados interna, o servidor seguiu o redirecionamento. No entanto, o Azure bloqueou o acesso sem o cabeçalho necessário.

“Como o servidor seguiu redirecionamentos 302, ele retornou a resposta de sua URL de metadados interna. Missão cumprida, certo? Errado. A resposta do serviço de metadados indicou que um cabeçalho obrigatório não estava sendo definido”, observou SirLeeroyJenkins.

Após continuar a analisar as respostas, descobriu-se que o recurso permitia chaves de API personalizadas com nomes arbitrários. Ele tentou nomear uma chave como "Metadata" com o valor "true", onde o cabeçalho necessário foi inserido para conceder ao GPT acesso ao serviço de metadados.

Jenkins prontamente relatou a vulnerabilidade ao programa Bugcrowd da OpenAI, e o problema foi classificado como de alta gravidade e, em seguida, corrigido.

Ele também mencionou que a Open Security já havia utilizado esse tipo de cadeia de ataque SSRF para explorar uma vulnerabilidade na geração de faturas de uma grande empresa financeira global, durante uma auditoria de segurança.

OpenAI lança GPT-5.1 após turbulência com a versão 5.0

Em outras notícias relacionadas ao ChatGPT, a OpenAI anunciou o lançamento do GPT-5.1, destacando diversas atualizações em relação à versão 5.0 para aprimorar o seguimento de instruções e o raciocínio adaptativo. 

“O GPT-5.1 foi lançado! É uma ótima atualização. Gostei particularmente das melhorias no seguimento de instruções e no pensamento adaptativo. As melhorias na inteligência e no estilo também são boas”, escreveu o CEO Sam Altman no X na noite de quarta-feira.

O jornalista de tecnologia Mehul Gupta testou o GPT-5.1 em comparação com seu antecessor, observando que o GPT-5, embora refinado e útil, às vezes complica demais tarefas simples. A versão instantânea do GPT-5.1 supostamente apresentava uma compreensão aprimorada e pausas adaptativas sutis que proporcionavam respostas mais "contextualizadas".

Em um dos testes, Gupta pediu que ambos os modelos respondessem com seis palavras. O GPT-5 tentou explicar demais, enquanto o GPT-5.1 forneceu uma resposta concisa e correta. 

Altman também anunciou a adição de 7 novas predefinições, incluindo Padrão, Amigável, Eficiente, Profissional, Sincero e Peculiar, mas os usuários podem optar por "ajustá-las por conta própria"