Empiezan a salir a la luz las vulnerabilidades del navegador de ChatGPT en materia de seguridad y privacidad

La arribada del navegador ChatGPT Atlas, decidido recientemente por OpenAI para macOS (está previsto su dispersión incluso en otros SO), ha traumatizado un nuevo hito en la integración entre inteligencia químico y navegación web. Sin confiscación, unido con el entusiasmo original por sus funciones 'inteligentes', comienzan a aflorar serias preocupaciones sobre la seguridad y la privacidad de los usuarios.

El dispersión de Atlas coloca a OpenAI en competencia directa con gigantes como Google, Microsoft o Brave, que incluso están explorando potenciar sus navegadores con IA. Sin confiscación, la magnitud de las capacidades de Atlas —su autonomía, su memoria y su integración con ChatGPT— lo convierten en un examen mucho más arribista y, según algunos expertos, más peligroso.

De hecho, expertos en ciberseguridad, investigadores y organizaciones defensoras de la privacidad ya advierten que esta nueva engendramiento de navegadores basados en IA podría inaugurar una caja de Pandora de riesgos inéditos en el entorno digital.

Un navegador con inteligencia propia

ChatGPT Atlas no es un navegador convencional. Según el anuncio oficial de OpenAI, su principal atractivo radica en la posibilidad de prolongar una conversación con ChatGPT directamente unido a la página web que el adjudicatario invitado. Esta función permite al asistente comprender el contexto de lo que se está viendo, resumir, analizar o incluso ejecutar acciones adentro del propio sitio.

Encima, introduce dos características revolucionarias —y potencialmente problemáticas—:

1. Las 'memorias del navegador', que permiten a ChatGPT memorar información de las búsquedas y del comportamiento del adjudicatario a lo liberal del tiempo para ofrecer respuestas más personalizadas.
2. El 'modo agente', mediante el cual ChatGPT puede navegar e interactuar de forma autónoma con sitios web, desde hacer compras online hasta reservar un hotel o completar formularios.

En teoría, estas funciones están diseñadas para mejorar la productividad. En la experiencia, implican que el navegador debe ceder, interpretar y acumular grandes cantidades de datos personales, lo que eleva de guisa exponencial la superficie de ataque para ciberdelincuentes y el aventura de fugas de información.

Las alertas de la comunidad de seguridad

Según un referencia de Axios, Atlas recopila más datos sobre sus usuarios que cualquier otro navegador del mercado, lo que despertó alarmas entre defensores de la privacidad. Investigadores de SquareX incluso lograron engañar al navegador para que visitara un sitio malvado camuflado como la página de inicio de sesión de Binance, la popular plataforma de criptomonedas.

Entre los problemas más preocupantes destaca la vulnerabilidad en presencia de ataques de 'prompt injection': una técnica mediante la cual un atacante esconde instrucciones maliciosas en una página web o correo electrónico, con el objetivo de hacer que la IA ejecute acciones no autorizadas o revele información sensible. En el caso de Atlas, eso podría significar que el asistente compre un producto no deseado, borre archivos del sistema o incluso acceda a contactos personales.

Steve Wilson, cofundador del plan OWASP Gen AI Security, resumió la situación con estas palabras:

"Las guerras de los navegadores ya no giran en torno a pestañas o motores de búsqueda; sino sobre si podemos evitar que nuestros nuevos asistentes digitales se vuelvan contra nosotros".

Cuando la memoria del navegador se convierte en una amenaza

Uno de los aspectos más inquietantes es la función de 'memorias' del navegador. Aunque OpenAI afirma que los datos se almacenan de forma privada y controlada por el adjudicatario, las pruebas realizadas por la tecnóloga Lena Cohen, de la Electronic Frontier Foundation, revelaron que Atlas llegó a memorizar búsquedas sobre salubridad reproductiva e incluso el nombre de una médico verdadero. Este tipo de información, que en algunos estados de EE. UU. ha sido utilizada con fines judiciales, plantea un tranquilo aventura en contextos donde los derechos a la privacidad médica o reproductiva están en disputa.

OpenAI asegura que Atlas no debería memorar información médica, financiera o administrativa sensible, y ofrece opciones para eliminar saludos o impedir que el navegador los almacene. Pero la sola existencia de esa memoria persistente abre interrogantes sobre su diligencia, posibles filtraciones y el luces verdadero del control que el adjudicatario puede profesar sobre ella.

La defensa de OpenAI

En presencia de el creciente recuento, OpenAI ha saledizo a explicar las medidas implementadas para mitigar riesgos. En un comunicado publicado por el CISO de la compañía, Dane Stuckey, se reconocen las limitaciones actuales de la tecnología:

"Las inyecciones de prompt siguen siendo un problema de seguridad no resuelto. Nuestros adversarios dedicarán tiempo y medios significativos para intentar engañar al agente de ChatGPT".

No obstante, la empresa detalla una serie de capas de protección integradas en Atlas:

• Entrenamiento del maniquí para ignorar instrucciones maliciosas, mediante técnicas de refuerzo.
• Modos de seguridad como 'logged out mode', donde el agente actúa sin ceder a las credenciales del adjudicatario, ideal para tareas que no requieren iniciar sesión.
• 'Watch mode', que exige que el adjudicatario mantenga activa la pestaña cuando el agente interactúa con sitios sensibles, pausando las acciones si el adjudicatario cambia de ventana.
• Controles de aniquilación de saludos y restricciones de sistema, que impiden al agente ejecutar código o descargar archivos.

Estas medidas apuntan a construir una relación de confianza entre el adjudicatario y su asistente digital, pero incluso el propio Stuckey reconoce que el desafío está remotamente de resolverse por completo.

Vía | Axios

Imagen | Marcos Merino mediante IA

En Genbeta | Un puñado de documentos maliciosos pespunte para 'intoxicar' un maniquí de IA y alterar sus respuestas, según este estudio de Anthropic