Исследователи безопасности из компании LayerX обнаружили новую уязвимость под названием CometJacking. Эта атака, требующая всего одного клика, нацелена на агентный ИИ-браузер Comet от компании Perplexity. Используя специально созданную URL-ссылку, злоумышленники могут превратить браузер в инструмент для кражи конфиденциальной информации из подключенных сервисов пользователя, таких как электронная почта и календари, не прибегая к взлому паролей.
Механизм атаки, классифицированный как «скрытая инъекция промпта», обходит встроенные средства защиты данных Perplexity и разворачивается в пять этапов, инициируемых одним кликом. Сначала жертва переходит по вредоносной ссылке, полученной через фишинговое письмо или размещенной на веб-странице. Эта ссылка содержит скрытую инструкцию для искусственного интеллекта.
Ключевой элемент атаки заключается в использовании параметра "collection" в URL-адресе. Вредоносный промпт, добавленный в этот параметр, заставляет ИИ-агент Comet обращаться не к живому поиску в интернете, а к своей внутренней памяти. Именно в этой памяти хранятся данные из сервисов, к которым пользователь предоставил авторизованный доступ, например, из Gmail.
После получения доступа к данным ИИ-агент не передает их в открытом виде. Чтобы обойти проверки на утечку информации, он кодирует украденные сведения с помощью алгоритма Base64. Это тривиальное запутывание позволяет скрыть конфиденциальную информацию. На последнем этапе замаскированные данные отправляются на конечную точку, находящуюся под контролем злоумышленника.
Главная опасность CometJacking заключается в том, что атака не требует кражи учетных данных. Она эксплуатирует уже существующий авторизованный доступ браузера Comet к таким сервисам, как Gmail и Календарь. Таким образом, инструмент, который должен быть «доверенным вторым пилотом», превращается в инсайдерскую угрозу, поскольку у него уже есть «ключи» к данным пользователя.
Несмотря на выводы исследователей, компания Perplexity классифицировала обнаруженную уязвимость как «не имеющую последствий для безопасности».
Мишель Леви, руководитель отдела исследований безопасности в LayerX, так прокомментировала ситуацию для издания The Hacker News: "CometJacking показывает, как одна вредоносная URL-ссылка может незаметно превратить ИИ-браузер из доверенного второго пилота в инсайдерскую угрозу». Она подчеркнула необходимость внедрения «безопасности по умолчанию для промптов агента и доступа к памяти».
Ор Эшед, генеральный директор LayerX, заявил, что «ИИ-браузеры — это следующее поле битвы для корпораций». Он предупредил, что вредоносная ссылка способна превратить браузер в «пункт управления и контроля внутри периметра компании», и призвал организации внедрять средства контроля для нейтрализации вредоносных промптов для ИИ-агентов.
Эта уязвимость не является первым случаем эксплуатации ИИ-браузеров. Еще в августе 2020 года компания Guardio Labs раскрыла технику атаки под названием Scamlexity. С ее помощью злоумышленники могли обманом заставить ИИ-браузеры, включая Comet, взаимодействовать с фишинговыми страницами или поддельными сайтами электронной коммерции без ведома пользователя.
Изображение носит иллюстративный характер
Механизм атаки, классифицированный как «скрытая инъекция промпта», обходит встроенные средства защиты данных Perplexity и разворачивается в пять этапов, инициируемых одним кликом. Сначала жертва переходит по вредоносной ссылке, полученной через фишинговое письмо или размещенной на веб-странице. Эта ссылка содержит скрытую инструкцию для искусственного интеллекта.
Ключевой элемент атаки заключается в использовании параметра "collection" в URL-адресе. Вредоносный промпт, добавленный в этот параметр, заставляет ИИ-агент Comet обращаться не к живому поиску в интернете, а к своей внутренней памяти. Именно в этой памяти хранятся данные из сервисов, к которым пользователь предоставил авторизованный доступ, например, из Gmail.
После получения доступа к данным ИИ-агент не передает их в открытом виде. Чтобы обойти проверки на утечку информации, он кодирует украденные сведения с помощью алгоритма Base64. Это тривиальное запутывание позволяет скрыть конфиденциальную информацию. На последнем этапе замаскированные данные отправляются на конечную точку, находящуюся под контролем злоумышленника.
Главная опасность CometJacking заключается в том, что атака не требует кражи учетных данных. Она эксплуатирует уже существующий авторизованный доступ браузера Comet к таким сервисам, как Gmail и Календарь. Таким образом, инструмент, который должен быть «доверенным вторым пилотом», превращается в инсайдерскую угрозу, поскольку у него уже есть «ключи» к данным пользователя.
Несмотря на выводы исследователей, компания Perplexity классифицировала обнаруженную уязвимость как «не имеющую последствий для безопасности».
Мишель Леви, руководитель отдела исследований безопасности в LayerX, так прокомментировала ситуацию для издания The Hacker News: "CometJacking показывает, как одна вредоносная URL-ссылка может незаметно превратить ИИ-браузер из доверенного второго пилота в инсайдерскую угрозу». Она подчеркнула необходимость внедрения «безопасности по умолчанию для промптов агента и доступа к памяти».
Ор Эшед, генеральный директор LayerX, заявил, что «ИИ-браузеры — это следующее поле битвы для корпораций». Он предупредил, что вредоносная ссылка способна превратить браузер в «пункт управления и контроля внутри периметра компании», и призвал организации внедрять средства контроля для нейтрализации вредоносных промптов для ИИ-агентов.
Эта уязвимость не является первым случаем эксплуатации ИИ-браузеров. Еще в августе 2020 года компания Guardio Labs раскрыла технику атаки под названием Scamlexity. С ее помощью злоумышленники могли обманом заставить ИИ-браузеры, включая Comet, взаимодействовать с фишинговыми страницами или поддельными сайтами электронной коммерции без ведома пользователя.
