L’injection de commandes dans Codex et un canal sortant caché dans ChatGPT ont exposé des risques de vol d’identifiants et d’exfiltration de données secrètes.
OpenAI a corrigé deux failles dans sa pile d’IA qui pourraient permettre aux agents d’IA de déplacer des données sensibles de manière involontaire.
Les problèmes, révélés par les chercheurs de BeyondTrust et Check Point Research, affectent respectivement l’agent de codage OpenAI Codex et l’environnement d’exécution de code de ChatGPT. L’un a permis le vol de jetons GitHub via l’injection de commandes, tandis que l’autre a exposé un canal caché pour la fuite silencieuse des données utilisateur.
Les deux bogues ont maintenant été corrigés, mais les chercheurs préviennent que donner aux outils d’IA l’autonomie nécessaire pour exécuter du code et interagir avec des systèmes externes crée un risque à long terme, permettant aux attaquants de mener des actions malveillantes sans jamais briser le modèle lui-même.
L’injection de commandes Codex transforme les noms de branches en portes dérobées
Les chercheurs de BeyondTrust ont découvert que Codex, l’agent de codage d’OpenAI qui exécute des tâches dans des conteneurs cloud, était vulnérable à un bug d’injection de commandes concernant le paramètre de nom de branche GitHub.
Lorsque le Codex tente une tâche, il clone un référentiel et s’authentifie à l’aide d’un jeton GitHub de courte durée. Le problème provenait de la façon dont il gérait les entrées contrôlées par l’utilisateur pendant cette phase de configuration. Plus précisément, le paramètre de nom de branche n’était pas correctement nettoyé, permettant aux attaquants d’injecter des commandes shell arbitraires dans les environnements.
Un nom de branche conçu de manière malveillante pourrait exécuter du code à l’intérieur du conteneur, exposant ainsi le jeton Codex utilisé pour accéder au référentiel. Les chercheurs ont démontré que le jeton pouvait ensuite être exfiltré via une sortie de tâche ou des requêtes réseau externes.
Cela transforme efficacement un flux de travail de routine des développeurs en un vecteur potentiel de vol d’informations d’identification. Les jetons GitHub accordent souvent un large accès aux référentiels privés, ce qui les rend très précieux dans les attaques de la chaîne logistique.
Selon un article du blog BeyondTrust, le problème a été signalé à OpenAI, qui a agi rapidement pour le résoudre en renforçant la validation des entrées autour du paramètre vulnérable et en renforçant la manière dont les commandes sont construites dans l’environnement d’exécution. Le correctif a été déployé avant sa divulgation publique, sans aucune preuve d’exploitation active signalée, ajoute le message.
Les échecs de validation des entrées semblent avoir augmenté avec les workflows d’IA, conduisant à des vulnérabilités classiques d’injection de commandes.
Le canal sortant caché de ChatGPT divulgue les données des utilisateurs
OpenAI aurait corrigé un bug parallèle dans ChatGPT qui va au-delà du vol d’informations d’identification. Les chercheurs de Check Point ont découvert un chemin de communication sortant caché dans le runtime d’exécution de code de ChatGPT qui pourrait être déclenché par une seule invite malveillante.
Ce canal a réussi à contourner les garanties attendues de la plateforme concernant le partage de données externes. Au lieu d’exiger l’approbation explicite de l’utilisateur, le moteur d’exécution pourrait transmettre des données, telles que des messages de discussion, des fichiers téléchargés ou des sorties générées, à un serveur externe sans aucune alerte visible.
Les chercheurs de CheckPoint ont démontré la création d’une invite qui exploite ce comportement, permettant au moteur d’exécution de regrouper et de transmettre des données de discussion privée à un serveur externe. Fondamentalement, une conversation d’apparence normale pourrait être transformée en un pipeline secret d’exfiltration de données.
Le même mécanisme pourrait également être utilisé de manière abusive par un GPT personnalisé détourné ou malveillant, lui permettant de siphonner des informations sensibles à l’insu de l’utilisateur, ont indiqué les chercheurs, ajoutant que le canal pourrait potentiellement être utilisé pour établir un accès shell à distance au sein de l’environnement d’exécution.
Bien qu’aucune exploitation active n’ait été signalée, les chercheurs notent des implications significatives. OpenAI a résolu le problème à peu près en même temps que la correction des failles du Codex en renforçant les contrôles autour des communications sortantes dans l’environnement d’exécution de code.
