Prohlížeče OpenAI Atlas a Perplexity Comet jsou zranitelné vůči útokům, které napodobují vestavěný AI postranní panel a mohou vést uživatele k následování škodlivých instrukcí.
Útok nazvaný AI Sidebar Spoofing vyvinuli výzkumníci ze společnosti SquareX zabývající se bezpečností prohlížečů a funguje na nejnovějších verzích obou prohlížečů.
Výzkumníci vytvořili tři realistické scénáře útoku, kde by útočník mohl použít AI Sidebar Spoofing ke krádeži kryptoměn, získání přístupu k Gmail a Google Drive službám cíle a k převzetí kontroly nad zařízením.
Atlas a Comet jsou agentic AI prohlížeče, které integrují velké jazykové modely (LLM) do postranního panelu, s nímž mohou uživatelé během prohlížení interagovat: požádat o shrnutí aktuální stránky, provádět příkazy nebo automatizované úlohy.
Comet byl vydán v červenci, zatímco ChatGPT Atlas se stal dostupným pro macOS začátkem tohoto týdne. Od svého vydání byl Comet terčem několika výzkumů ukazujících, že za určitých okolností přináší bezpečnostní rizika.
Vložení falešného AI agenta
SquareX zjistil, že v Cometu i Atlasu je možné vykreslit falešný postranní panel přes skutečný pomocí škodlivého rozšíření, které vkládá JavaScript do webové stránky, kterou uživatel vidí.
Falešný postranní panel by byl identický s tím v agentic prohlížeči, čímž vytváří klamný prvek, který se jeví jako součást standardního uživatelského rozhraní. Protože padělek překrývá skutečný panel a zachycuje všechny interakce, uživatelé by si podvodu vůbec nevšimli.
„Jakmile oběť otevře novou kartu prohlížeče, rozšíření může vložit javascript do webové stránky a vytvořit falešný postranní panel, který vypadá úplně stejně jako postranní panel AI prohlížeče,“ uvádí SquareX.
Použitím rozšíření může vložený JavaScript vykreslit škodlivý překryvný postranní panel na každé stránce, kterou uživatel navštíví.
SquareX poznamenává, že takové rozšíření by vyžadovalo pouze oprávnění „host“ a „storage“, která jsou běžná pro produktivní nástroje jako Grammarly a správce hesel.
„Protože neexistuje žádný vizuální a pracovní rozdíl mezi falešným a skutečným AI postranním panelem, uživatel bude pravděpodobně věřit, že interaguje se skutečným postranním panelem AI prohlížeče,“ říkají výzkumníci.
SquareX použil Google Gemini AI v prohlížeči Comet k demonstraci svých zjištění. Výzkumníci použili specifické parametry, které reagovaly škodlivými instrukcemi na konkrétní dotazy.
Tři příklady, které SquareX ve zprávě zdůrazňuje, jsou:
- Vedení uživatelů na phishingové stránky, když se ptají na otázky související s kryptoměnami
- Provádění OAuth útoků prostřednictvím falešných aplikací pro sdílení souborů, únos Gmail/Drive uživatelů
- Poskytnutí příkazu pro instalaci reverse shellu uživatelům, kteří chtějí nainstalovat software
V době výzkumu OpenAI ještě nevydala prohlížeč Atlas a SquareX vyzkoušel útok AI Sidebar Spoofing pouze na Cometu.
Nicméně také otestovali útok na prohlížeči Atlas od OpenAI, když byl spuštěn, a potvrdili, že AI Sidebar Spoofing funguje i na něm.
Výzkumníci kontaktovali Perplexity i OpenAI ohledně tohoto problému, ale ani jeden neodpověděl.
Uživatelé agentic AI prohlížečů by si měli být vědomi mnoha rizik, která tyto nástroje představují, a omezit jejich používání na necitlivé aktivity, vyhýbat se úkolům zahrnujícím e-mail, finanční informace nebo jiná soukromá data.
Ačkoli jsou s každým vydáním přidávány nová bezpečnostní opatření v reakci na vznikající útoky, tyto prohlížeče ještě nedosáhly úrovně zralosti potřebné ke snížení jejich útočné plochy na přijatelnou úroveň pro cokoli nad rámec běžného prohlížení.
Zdroj: bleepingcomputer.com
Zdroj: IT SECURITY NETWORK NEWS
