Un investigador descubre una vulnerabilidad crítica de SSRF en el GPT personalizado de ChatGPT.
El modelo de lenguaje ChatGPT de OpenAI solucionó una vulnerabilidad de seguridad detectada a principios de esta semana por un investigador en la función "Acciones" de los GPT personalizados. Según el investigador, los atacantes podrían haber explotado una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) para exponerdentinternas en la nube del modelo de IA.
Como ingeniero de seguridad de código abierto y cazador de errores, SirLeeroyJenkins estaba creando su primer GPT personalizado y percibió una vulnerabilidad SSRF. La función Acciones permite a los usuarios defiAPI externas mediante esquemas OpenAPI para que la IA las invoque para tareas específicas, como la obtención de datos meteorológicos.
Mientras probaba su propia API, SirLeeroyJenkins descubrió que el sistema devolvía datos de una URL proporcionada por el usuario. Alarmado por este comportamiento, realizó más pruebas, sospechando un posible problema de SSRF.
“En cuanto me di cuenta de que esta función podía devolver datos de cualquier URL proporcionada por el usuario, se activó mi instinto de hacker”, dijo. “Tenía que comprobar si había un ataque SSRF”.
La vulnerabilidad SSRF podría hacer que las GPT personalizadas sean inseguras.
Como explicó Jenkins en su artículo de Medium publicado a principios de esta semana, la falsificación de solicitudes del lado del servidor (SSRF) es una vulnerabilidad web que engaña a las aplicaciones para que realicen solicitudes a destinos no deseados. Si la aplicación no valida correctamente las URL proporcionadas por el usuario, los atacantes pueden usar los privilegios de acceso del servidor para acceder a redes internas o servicios de metadatos en la nube.
La vulnerabilidad SSRF tuvo la suficiente prevalencia como para figurar en la lista OWASP Top 10 en 2021 y ahora ha ampliado su daño potencial debido a que las configuraciones predeterminadas inseguras en entornos de nube pueden exponer sistemas críticos.
Jenkins explicó que existen dos tipos principales de SSRF: lectura completa y ciega. El SSRF de lectura completa devuelve datos del servicio objetivo directamente al atacante. Por otro lado, el SSRF ciego no revela la respuesta, pero aun así permite interactuar con servicios internos, por ejemplo, mediante escaneo de puertos basado en temporización.
Probó la vulnerabilidad dirigiendo la URL de la API al Servicio de Metadatos de Instancia (IMDS) de Azure, que almacena credenciales confidenciales en la nube dent El acceso a este servicio normalmente requiere el Metadata: True , por lo que se alarmó cuando sus intentos iniciales no pudieron proporcionar el encabezado solicitado.
La función GPT personalizada bloqueó inicialmente la vulnerabilidad porque requería URL HTTPS, mientras que Azure IMDS opera sobre HTTP. Mediante una redirección 302 desde un punto de conexión HTTPS externo a la URL de metadatos interna, el servidor siguió la redirección. Sin embargo, Azure bloqueó el acceso sin el encabezado requerido.
“Dado que el servidor siguió las redirecciones 302, devolvió la respuesta de su URL interna de metadatos. Misión cumplida, ¿verdad? Error. La respuesta de su servicio de metadatos indicó que no se estaba configurando una cabecera obligatoria”, señaló SirLeeroyJenkins.
Tras seguir analizando las respuestas, la función permitía claves API personalizadas con nombres arbitrarios. Intentó nombrar una clave «Metadata» con el valor «true» , insertando la cabecera necesaria para otorgar al GPT acceso al servicio de metadatos.
Jenkins informó rápidamente de la vulnerabilidad al programa Bugcrowd de OpenAI, y al problema se le asignó una alta gravedad y posteriormente se solucionó.
También mencionó que Open Security ya había utilizado este tipo de cadena de ataque SSRF para explotar una vulnerabilidad en la generación de facturas de una importante empresa financiera global para realizar auditorías de seguridad.
OpenAI lanza GPT-5.1 tras la polémica de la versión 5.0.
En otras noticias relacionadas con ChatGPT, OpenAI anunció el lanzamiento de GPT-5.1, destacando varias actualizaciones realizadas desde la versión 5.0 para mejorar el seguimiento de instrucciones y el razonamiento adaptativo.
“¡GPT-5.1 ya está disponible! Es una buena actualización. Me gustan especialmente las mejoras en el seguimiento de instrucciones y el pensamiento adaptativo. Las mejoras en inteligencia y estilo también son buenas”, escribió el CEO Sam Altman en X el miércoles por la noche.
El analista tecnológico Mehul Gupta comparó GPT-5.1 con su predecesor y observó que GPT-5 , si bien era una versión pulida y útil, a veces complicaba en exceso tareas sencillas. La versión instantánea de GPT-5.1, supuestamente, ofrecía una mejor comprensión y pausas adaptativas sutiles que proporcionaban respuestas más contextualizadas.
En una prueba, Gupta pidió a ambos modelos que respondieran en seis palabras. GPT-5 intentó dar una explicación demasiado extensa, mientras que GPT-5.1 ofreció una respuesta concisa y correcta.
Altman también anunció que se han añadido 7 nuevos preajustes, incluidos Default, Friendly, Efficient, Professional, Candid y Quirky, pero los usuarios pueden optar por "ajustarlos ellos mismos".
No te limites a leer noticias sobre criptomonedas. Entiéndelas. Suscríbete a nuestro boletín. Es gratis .
Artículos Recomendados
