ChatGPT взломан с использованием пользовательских GPT-тегов, эксплуатирующих уязвимость SSRF

В крупной языковой модели OpenAI ChatGPT исправлена ​​уязвимость безопасности, обнаруженная ранее на этой неделе исследователем в функции «Действия» пользовательских GPT. По словам исследователя, злоумышленники могли использовать уязвимость Server-Side Request Forgery (SSRF) для получения доступа к внутреннимdentданным в облаке модели ИИ.

Будучи инженером по открытой безопасности и охотником за ошибками, SirLeeroyJenkins создавал свой первый собственный GPT-файл и «почувствовал», что существует уязвимость SSRF. Функция «Действия» позволяет пользователям defiвнешние API, используя схемы OpenAPI, чтобы ИИ мог вызывать их для выполнения конкретных задач, таких как получение данных о погоде.

В ходе тестирования собственного API SirLeeroyJenkins обнаружил, что система возвращает данные с URL-адреса, предоставленного пользователем. Встревоженный таким поведением, он провел дополнительные тесты, заподозрив потенциальную проблему SSRF.

«Как только я понял, что эта функция может возвращать данные с любого предоставленного пользователем URL-адреса, у меня сработал хакерский инстинкт, — сказал он. — Мне нужно было проверить наличие SSRF-атак»

Уязвимость SSRF может сделать пользовательские GPT небезопасными 

Как объяснил Дженкинс в своей статье на Medium, опубликованной ранее на этой неделе, Server-Side Request Forgery — это уязвимость в веб-приложениях, которая обманом заставляет приложения отправлять запросы к непредусмотренным адресатам. Если приложение не проверяет должным образом предоставленные пользователем URL-адреса, злоумышленники могут использовать права доступа сервера для доступа к внутренним сетям или облачным сервисам метаданных.

Атаки типа SSRF были настолько распространены, что в 2021 году попали в список OWASP Top 10, а теперь их потенциальный ущерб расширился, поскольку небезопасные конфигурации по умолчанию в облачных средах могут сделать критически важные системы уязвимыми.

Дженкинс объяснил, что существует два основных типа SSRF: полное чтение и слепое SSRF. При полном чтении SSRF возвращает данные из целевого сервиса непосредственно злоумышленнику. В то же время, слепое SSRF не раскрывает ответ, но всё же позволяет взаимодействовать с внутренними сервисами, например, посредством сканирования портов на основе временных параметров.

Он проверил уязвимость, направив URL-адрес API на службу метаданных экземпляров Azure (IMDS), которая хранит конфиденциальные облачные учетныеdent. Доступ к этой службе обычно требует Metadata: True , поэтому он был встревожен, когда его первые попытки не смогли предоставить запрошенный заголовок.

Функция Custom GPT первоначально заблокировала уязвимость, поскольку она требовала использования URL-адресов HTTPS, в то время как Azure IMDS работает по протоколу HTTP. Используя перенаправление 302 с внешней конечной точки HTTPS на внутренний URL-адрес метаданных, сервер следовал перенаправлению. Однако Azure заблокировал доступ без необходимого заголовка.

«Поскольку сервер выполнил перенаправление 302, он вернул ответ со своего внутреннего URL-адреса метаданных. Миссия выполнена, верно? Неверно. Ответ от их службы метаданных указывал на то, что обязательный заголовок не был установлен», — отметил SirLeeroyJenkins.

После дальнейшего анализа ответов выяснилось, что эта функция позволяет создавать пользовательские API-ключи с произвольными именами. Он попытался присвоить ключу имя Metadata со значением true, в которое был внедрен необходимый заголовок, предоставляющий GPT доступ к службе метаданных.

Дженкинс незамедлительно сообщил об уязвимости в программу Bugcrowd компании OpenAI, после чего проблеме был присвоен высокий уровень серьезности, и она была исправлена.

Он также упомянул, что компания Open Security ранее использовала подобную цепочку SSRF-атак для эксплуатации уязвимой функции генерации счетов-фактур в крупной международной финансовой компании, занимающейся аудитом безопасности.

OpenAI выпускает GPT-5.1 после проблем, возникших с версией 5.0

В других новостях, связанных с ChatGPT, компания OpenAI объявила о выпуске GPT-5.1, включающего ряд обновлений по сравнению с версией 5.0, направленных на улучшение следования инструкциям и адаптивного рассуждения. 

«GPT-5.1 вышел! Это отличное обновление. Мне особенно нравятся улучшения в следовании инструкциям и адаптивном мышлении. Улучшения в интеллекте и стиле тоже хороши», — написал генеральный директор Сэм Альтман на X в среду вечером.

Технический обозреватель Мехул Гупта сравнил GPT-5.1 с его предшественником, отметив, что GPT-5, хотя и отполирован и полезен, иногда чрезмерно усложняет простые задачи. Предположительно, мгновенная версия GPT-5.1 имела улучшенное понимание и тонкие адаптивные паузы, которые обеспечивали более «контекстно-ориентированные» ответы.

В одном из тестов Гупта попросил обе модели ответить шестью словами. GPT-5 попыталась дать слишком подробное объяснение, в то время как GPT-5.1 дала краткий и правильный ответ. 

Альтман также объявил о добавлении 7 новых предустановок, включая Default, Friendly, Efficient, Professional, Candid и Quirky, но пользователи могут «настроить их самостоятельно»