Cuando ChatGPT accede a estas páginas para responder una pregunta, ejecuta sin saberlo los comandos ocultos.

Los ataques pueden ocurrir de dos maneras: ataques de '0-clic', donde el compromiso se desencadena simplemente al hacer una pregunta que lleva al modelo a una página infectada, y ataques de '1-clic', que se activan al hacer clic en un enlace malicioso. Una de las técnicas más preocupantes es la 'Inyección de Memoria Persistente', que permite a los atacantes guardar instrucciones dañinas en la memoria a largo plazo de ChatGPT. Estas instrucciones permanecen activas entre sesiones, lo que posibilita la filtración continua de información privada hasta que la memoria sea borrada. Moshe Bernstein, Ingeniero de Investigación Senior en Tenable, explicó que estas fallas, aunque pequeñas individualmente, “juntas forman una cadena de ataque completa, desde la inyección y la evasión hasta el robo de datos y la persistencia”. Tenable realizó la divulgación de manera responsable a OpenAI, que ha remediado algunos de los problemas, pero otros permanecían sin solución al momento de la publicación.