Esta semana, OpenAI lanzó ChatGPT Atlas, el primer navegador web con IA de la compañía. Atlas te permite navegar por la web como cualquier otro navegador, pero, como era de esperar, viene con integración ChatGPT. Puede iniciar sesión en su cuenta y acceder al asistente a través del menú de la barra lateral, que recordará no sólo las conversaciones pasadas, sino también su historial de navegación. Al igual que otros navegadores de IA, concretamente Perplexity Comet, el navegador tiene un «modo agente» que puede realizar acciones en su nombre. Puedes pedirle que pida comida a través de DoorDash o que te compre billetes de avión en Kayak en lugar de hacer esas cosas tú mismo.
Si bien esto puede parecer útil para los fanáticos de ChatGPT, tuve problemas para recomendar el navegador a la gente, considerando las vulnerabilidades de seguridad que enfrentan actualmente los navegadores de IA. Cualquier navegador que tenga funciones de agente es vulnerable a ataques de inyección de avisos: los malos actores pueden enlazar sitios web con avisos maliciosos ocultos que la IA acepta como si hubieran sido escritos por el usuario. Por lo tanto, podría tomar medidas en nombre de la hackercomo abrir un sitio financiero o acceder a su correo electrónico. Parece un gran riesgo simplemente subcontratar algunas tareas básicas de Internet a un bot de IA.
Pero las inyecciones rápidas no son la única vulnerabilidad que enfrenta actualmente Atlas. Según un nuevo descubrimiento, el navegador también puede poner en riesgo el portapapeles del usuario.
Cómo funciona la vulnerabilidad de inyección del portapapeles de Atlas
Android Authority detectó una publicación en X del hacker ético conocido como Plinio el Libertador. Según Plinio, ChatGPT Atlas es vulnerable a la inyección del portapapeles, un tipo de ataque que permite a un mal actor acceder al portapapeles de su computadora. La idea es la siguiente: un mal actor puede agregar una función de «copiar al portapapeles» a un botón de su sitio web. Cuando haces clic en el botón, se ejecuta un script malicioso en segundo plano, lo que permite al mal actor acceder a tu portapapeles y agregarle lo que quiera. Tal vez sea una URL de un sitio web diseñado para instalar malware en sus dispositivos; tal vez sea una URL a un sitio que se hace pasar por un sitio financiero. Cualquiera sea el caso, usted no sabe que su portapapeles ha sido pirateado, por lo que puede abrir una nueva pestaña y pegar lo que pensar Fue lo último que copiaste, cayendo en la trampa.
El riesgo particular de ChatGPT Atlas son sus características de agente: cuando está en modo agente, Atlas puede hacer clic en un botón malicioso como este por sí solo, sin que usted lo sepa. En un momento, le pediste a Atlas que te ordenara el almuerzo; al momento siguiente, el navegador accidentalmente te configuró para ser pirateado.
Plinio dice que OpenAI evidentemente ha entrenado a Atlas para reconocer inyecciones rápidas, pero la función principal de «copiar portapapeles» está oculta a la vista de la IA. Es un truco inteligente: el robot puede pasar el cursor sobre el botón sin saber que hay algún problema con él, por lo que «hace clic» sin activar ninguna señal de alerta.
Para cualquiera que copie y pegue elementos con frecuencia durante el día, esto podría resultar bastante peligroso. Puede copiar algo en una aplicación y luego pedirle a ChatGPT Atlas que haga algo en su nombre. Pero sin saberlo, el navegador hace clic en un enlace malicioso que agrega algo al portapapeles. Luego lo pega en la ventana de su navegador, pensando que aún tiene el elemento original copiado, pero en su lugar lo lleva a un sitio web que afirma que su sesión bancaria ha expirado y necesita iniciar sesión. Si está realizando múltiples tareas rápidamente, puede «iniciar sesión» sin pensar, entregando sus credenciales bancarias y códigos 2FA sin darse cuenta.
Estas son hipótesis. En este momento, no se han documentado casos de este tipo de actividad maliciosa que afecte a ChatGPT Atlas. Al mismo tiempo, ChatGPT Atlas tiene dos días. Para mí, no parece que valga la pena correr el riesgo aquí, especialmente porque no tengo problemas para usar Internet por mi cuenta.