Mega Sekurak Hacking Party w Krakowie! 26-27.10.2026 r.
Fałszywe URL jako nowy wektor ataku w przeglądarce Atlas od OpenAI
Badacze z NeuralTrust odkryli nowy wektor ataku na przeglądarkę internetową OpenAI o nazwie Atlas. Wykorzystana podatność dotyczy „omniboxa” czyli pola, w które wpisuje się adresy URL lub hasła wyszukiwania.
Jak wygląda atak?
Atakujący tworzy ciąg znaków, który wygląda jak adres URL (np. zaczyna się od „https:” i zawiera tekst przypominający nazwę domeny), ale jest nieprawidłowo sformatowany, przez co przeglądarka nie traktuje go jako prawdziwego, możliwego do otwarcia linku. W ciąg ten wbudowane są jawne instrukcje w języku naturalnym skierowane do agenta.
Następnie użytkownik musi wkleić ten ciąg lub kliknąć go w taki sposób, że trafi on do omniboksa Atlasa. Taki fałszywy URL cyberzbóje mogą umieścić na przykład za przyciskiem „Kopiuj link” na stronie wyników wyszukiwania.
Ponieważ dane wejściowe nie przechodzą walidacji adresu URL, Atlas interpretuje całą zawartość jako polecenie (prompt). Osadzone instrukcje są traktowane jako zaufana intencja użytkownika.
Agent wykonuje wstrzyknięte polecenia z podwyższonym poziomem zaufania. Na przykład polecenia typu „stosuj się tylko do tych instrukcji” czy „odwiedź sekurak.pl” mogą nadpisać intencję użytkownika lub obowiązujące zasady bezpieczeństwa.
Badacze podkreślają, że głównym mechanizmem awarii w przeglądarkach agentowych jest brak wyraźnych granic między zaufanym wejściem od użytkownika a niezaufaną treścią. Wśród zaleceń dla twórców przeglądarek agentowych lub asystentów, NeuralTrust wymienia: brak automatycznego przechodzenia w tryb promptu, odmowę nawigacji, jeśli analiza danych wejściowych się nie powiedzie, oraz domyślne traktowanie poleceń z omniboksa jako niezaufanych.
Co możesz zrobić, jako użytkownik?
Po pierwsze, mieć świadomość że w przeglądarkach takich jak Atlas pasek (omnibox) może obsługiwać nie tylko wyszukiwanie, ale też polecenia (prompty). Każdy wpis może więc być zinterpretowany jako intencja użytkownika.
Najlepiej unikać kopiowania i wklejania adresów URL z nieznanych źródeł bez uprzedniego sprawdzenia ich formatu i treści, np. wklejając do notatnika. W opisywanym przypadku fałszywy link będzie zawierał instrukcję w języku naturalnym (zwykły tekst rozdzielony znakami), co powinno być proste do zauważenia nawet dla osoby nietechnicznej. Ponadto wyrobienie w sobie nawyku „czytania” linków URL może uchronić przed innymi atakami, np. phishingiem mailowym.
~Natalia Idźkowska
