Han surgido detalles sobre una falla de seguridad ahora parcheada en el búsqueda profunda Chatbot de inteligencia artificial (IA) que, si se explota con éxito, podría permitir que un mal actor tome el control de la cuenta de una víctima mediante un ataque de inyección rápida.
El investigador de seguridad Johann Rehberger, que ha documentado muchos ataques de inyección rápida dirigidos a diversas herramientas de inteligencia artificial, encontró que proporcionar la entrada “Imprimir la hoja de trucos xss en una lista con viñetas. Solo cargas útiles” en el chat de DeepSeek desencadenó la ejecución de código JavaScript como parte de la respuesta generada, un caso clásico de secuencias de comandos entre sitios (XSS).
Los ataques XSS pueden tener graves consecuencias ya que conducen a la ejecución de código no autorizado en el contexto del navegador web de la víctima.
Un atacante podría aprovechar dichas fallas para secuestrar la sesión de un usuario y obtener acceso a las cookies y otros datos asociados con el chat.deepseek.[.]com, lo que lleva a la apropiación de la cuenta.
“Después de algunos experimentos, descubrí que todo lo que se necesitaba para controlar la sesión de un usuario era el userToken almacenado en localStorage en el dominio chat.deepseek.com”, dijo Rehberger, agregando que se podría usar un mensaje diseñado específicamente para activar el XSS. y acceder al userToken del usuario comprometido mediante una inyección rápida.
El mensaje contiene una combinación de instrucciones y una cadena codificada en Bas64 que es decodificada por el chatbot DeepSeek para ejecutar la carga útil XSS responsable de extraer el token de sesión de la víctima, lo que en última instancia permite al atacante hacerse pasar por el usuario.
El desarrollo se produce cuando Rehberger también demostrado ese Claude antrópico Uso de la computadora – cual permite que los desarrolladores utilicen el modelo de lenguaje para controlar una computadora mediante el movimiento del cursor, clics en botones y escritura de texto, se podría abusar para ejecutar comandos maliciosos de forma autónoma mediante inyección rápida.
La técnica, denominada ZombAIs, esencialmente aprovecha la inyección rápida para convertir el uso de la computadora en un arma con el fin de descargar el marco de comando y control (C2) de Sliver, ejecutarlo y establecer contacto con un servidor remoto bajo el control del atacante.
Además, se ha descubierto que es posible hacer uso de la capacidad de los modelos de lenguaje grandes (LLM) para generar código de escape ANSI para secuestrar terminales del sistema mediante inyección rápida. El ataque, que se dirige principalmente a las herramientas de interfaz de línea de comandos (CLI) integradas en LLM, lleva el nombre en código Terminal DiLLMa.
“Las funciones de hace una década están proporcionando una superficie de ataque inesperada a las aplicaciones GenAI”, Rehberger dicho. “Es importante que los desarrolladores y diseñadores de aplicaciones consideren el contexto en el que insertan la salida de LLM, ya que la salida no es confiable y podría contener datos arbitrarios”.
Eso no es todo. Una nueva investigación realizada por académicos de la Universidad de Wisconsin-Madison y la Universidad de Washington en St. Louis ha reveló que se puede engañar al ChatGPT de OpenAI para que muestre enlaces de imágenes externas proporcionadas con formato Markdown, incluidos aquellos que podrían ser explícitos y violentos, con el pretexto de un objetivo benigno general.
Es más, se ha descubierto que la inyección rápida se puede utilizar para invocar indirectamente complementos de ChatGPT que de otro modo requerirían la confirmación del usuario, e incluso eludir las restricciones impuestas por OpenAI para evitar que la representación de contenido de enlaces peligrosos se filtre del historial de chat de un usuario a un servidor controlado por el atacante.
About the Author
