安全研究人员发现OpenAI旗下ChatGPT Atlas网页浏览器存在新漏洞，攻击者可借此向这款AI驱动助手的记忆中注入恶意指令，进而执行任意代码。该漏洞利用跨站请求伪造（CSRF）漏洞，向ChatGPT的持久化记忆中注入恶意指令，这些被篡改的记忆会在不同设备和会话间留存，当已登录用户正常使用ChatGPT时，攻击者便可借此控制用户账户、浏览器或关联系统。这一实用功能就此沦为攻击者执行恶意代码的工具。

🔍 攻击者可通过跨站请求伪造（CSRF）漏洞，向ChatGPT的持久化记忆中注入恶意指令，这些被篡改的记忆会在不同设备和会话间留存，当已登录用户正常使用ChatGPT时，攻击者便可借此控制用户账户、浏览器或关联系统。

📌 持久化记忆功能于2024年2月由OpenAI推出，旨在让AI聊天机器人记住聊天间的有用信息，让回复更具个性化和相关性。但该漏洞的严重风险在于，恶意指令会一直存在，除非用户手动进入设置删除被篡改的记忆。

🚫 ChatGPT Atlas缺乏健全的反钓鱼控制机制，这让问题雪上加霜。在针对100余个真实网络漏洞和钓鱼攻击的测试中，Edge拦截了53%的攻击，谷歌Chrome拦截率为47%，而ChatGPT Atlas的拦截率仅为5.8%。

看雪学苑 2025-10-28 17:59 上海

ChatGPT Atlas漏洞 恶意指令可持久植入

安全研究人员发现OpenAI旗下ChatGPT Atlas网页浏览器存在新漏洞，攻击者可借此向这款AI驱动助手的记忆中注入恶意指令，进而执行任意代码。

LayerX安全公司联合创始人兼首席执行官奥尔·埃谢德在提交给《黑客新闻》的报告中表示，该漏洞可让攻击者植入恶意代码、获取访问权限或部署恶意软件。

此次攻击的核心是利用一处跨站请求伪造（CSRF）漏洞，向ChatGPT的持久化记忆中注入恶意指令。这些被篡改的记忆会在不同设备和会话间留存，当已登录用户正常使用ChatGPT时，攻击者便可借此控制用户账户、浏览器或关联系统。

持久化记忆功能于2024年2月由OpenAI推出，旨在让AI聊天机器人记住聊天间的有用信息，让回复更具个性化和相关性。这些信息可涵盖用户名、喜爱颜色、兴趣爱好及饮食偏好等各类内容。

该漏洞的严重风险在于，恶意指令会一直存在，除非用户手动进入设置删除被篡改的记忆。这一实用功能就此沦为攻击者执行恶意代码的工具。

LayerX安全公司安全研究主管米歇尔·利维指出，该漏洞的独特危险性在于其针对的是AI的持久化记忆，而非仅局限于浏览器会话。通过将标准CSRF漏洞与记忆写入功能结合，攻击者可隐秘植入指令，且这些指令能跨设备、跨会话甚至跨浏览器留存。“我们的测试显示，一旦ChatGPT记忆被篡改，后续的正常提示可能触发代码获取、权限提升或数据泄露，且不会触发有效防护机制。”

攻击流程如下：

1. 用户登录ChatGPT账户；

2. 攻击者通过社会工程学手段诱骗用户点击恶意链接；

3. 恶意网页利用用户已认证的状态，触发CSRF请求，在用户不知情的情况下向ChatGPT记忆中注入隐藏指令；

4. 当用户正常查询ChatGPT时，被篡改的记忆会被调用，进而导致恶意代码执行。

LayerX未披露实施该攻击的更多技术细节，并指出ChatGPT Atlas缺乏健全的反钓鱼控制机制，这让问题雪上加霜。该浏览器安全公司表示，相比谷歌Chrome、微软Edge等传统浏览器，ChatGPT Atlas用户面临的风险高出90%。

在针对100余个真实网络漏洞和钓鱼攻击的测试中，Edge拦截了53%的攻击，谷歌Chrome拦截率为47%，Dia为46%；而Perplexit的Comet浏览器和ChatGPT Atlas的拦截率仅为7%和5.8%。

这一漏洞催生了多种攻击场景，例如开发者请求ChatGPT编写代码时，AI代理可能在编码过程中悄悄植入隐藏指令。

此前，NeuralTrust曾披露ChatGPT Atlas存在提示注入攻击漏洞，攻击者可将恶意提示伪装成看似无害的访问链接，通过地址栏绕过安全限制。另有报告显示，AI代理已成为企业环境中最常见的数据泄露载体。

埃谢德表示，AI浏览器将应用、身份和智能整合为单一AI攻击面，“‘被篡改记忆’这类漏洞已成为新的供应链风险，它们会跟随用户移动、污染后续工作，模糊了实用AI自动化与秘密控制之间的界限。”

他强调，随着浏览器成为AI的通用接口，新一代智能浏览器将AI直接融入浏览体验，企业需将浏览器视为关键基础设施——这正是AI生产力与工作场景的下一个前沿领域。

资讯来源：thehackernews

转载请注明出处和本文链接

﹀

﹀

﹀