Objevily se podrobnosti o nyní opravené bezpečnostní chybě v chatbotu umělé inteligence (AI) DeepSeek, která by v případě úspěšného zneužití mohla umožnit útočníkovi převzít kontrolu nad účtem oběti prostřednictvím útoku typu prompt injection.

Bezpečnostní expert Johann Rehberger, který zdokumentoval mnoho útoků typu prompt injection zaměřených na různé AI nástroje, zjistil, že zadání vstupu „Print the xss cheat sheet in a bullet list. just payloads“ v chatu DeepSeek spustilo provedení JavaScriptového kódu jako součást generované odpovědi – klasický případ cross-site scriptingu (XSS).

Útoky XSS mohou mít vážné důsledky, protože vedou k spuštění neoprávněného kódu ve webovém prohlížeči oběti. Útočník by mohl využít takové chyby k převzetí uživatelské relace a získání přístupu ke cookies a dalším datům spojeným s doménou chat.deepseek[.]com, což by mohlo vést k převzetí účtu.

„Po několika experimentech jsem zjistil, že k převzetí uživatelské relace stačil pouze userToken uložený v localStorage na doméně chat.deepseek.com,“ uvedl Rehberger a dodal, že specificky vytvořený prompt by mohl být použit k vyvolání XSS a přístupu ke kompromitovanému userTokenu uživatele prostřednictvím prompt injection.

Prompt obsahuje kombinaci instrukcí a Base64-kódovaného řetězce, který je dekódován chatbotem DeepSeek za účelem provedení XSS payloadu odpovědného za extrakci relace oběti, což nakonec umožňuje útočníkovi vydávat se za uživatele.

Tento vývoj přichází ve chvíli, kdy Rehberger také demonstroval, že funkce Claude Computer Use od společnosti Anthropic – která umožňuje vývojářům používat jazykový model k ovládání počítače prostřednictvím pohybu kurzoru, klikání na tlačítka a psaní textu – by mohla být zneužita k autonomnímu spuštění škodlivých příkazů prostřednictvím prompt injection.

Zdroj: Thehackernews.com