Bezbednosne ranjivosti agentskih AI pretraživača

Nova generacija agentskih AI pregledača, predvođena proizvodima kao što su Perplexity Comet i OpenAI ChatGPT Atlas, uvodi značajne bezbednosne rizike. Istraživači iz kompanije Brave otkrili su kritičnu ranjivost poznatu kao "indirektno ubrizgavanje komandi" (Indirect Prompt Injection). Ova tehnika omogućava malicioznim veb-sajtovima da tajno ugrade komande u svoj sadržaj, koje AI asistent pregledača zatim izvršava bez znanja ili odobrenja korisnika. Posledica je mogućnost zloupotrebe korisničkih naloga za neautorizovane akcije, što predstavlja sistemski problem koji pogađa celu kategoriju AI pregledača. Kompanija OpenAI je svesna ovih rizika, ali još uvek nije jasno definisala mere zaštite za svoj pregledač Atlas.

Uspon agentskih AI pregledača i novi bezbednosni izazovi

Tržištem novih tehnologija dominiraju agentski AI pregledači, među kojima se ističu Perplexity Comet i OpenAI ChatGPT Atlas, dok su u trci i Opera Neon i Dia kompanije The Browser Company. Ključna prednost ovih pregledača je njihova sposobnost da autonomno izvršavaju složene, višestepene zadatke u ime korisnika.

Međutim, ova napredna funkcionalnost donosi i nove bezbednosne pretnje. Kompanija Brave, poznata po svom Chromium-baziranom pregledaču, sprovela je istraživanje koje je otkrilo ozbiljne ranjivosti, posebno ističući da bi ovi pregledači mogli postati meta za zlonamerne napade.

Analiza ranjivosti: Indirektno ubrizgavanje komandi (Indirect Prompt Injection)

Centralni bezbednosni propust identifikovan od strane Brave istraživača je "indirektno ubrizgavanje komandi". Ova tehnika napada funkcioniše na sledeći način:

• Ugrađivanje skrivenih komandi: Napadač ugrađuje maliciozne instrukcije unutar sadržaja veb-stranice, komentara na društvenim mrežama ili čak unutar slika. Ove komande su često nevidljive ili teško uočljive za ljudsko oko.
• Preuzimanje komandi od strane AI: Kada AI asistent pregledača analizira taj sadržaj (npr. skenira veb-stranicu ili analizira skrinšot), on preuzima i skrivene instrukcije.
• Izvršavanje neautorizovanih radnji: AI asistent tretira ove ubačene komande kao legitimne korisničke zahteve i koristi alate pregledača da izvrši zadatke koje korisnik nije nameravao, koristeći pri tome korisničke privilegije (npr. pristup ulogovanim nalozima).

Konkretni primeri napada

Istraživanje kompanije Brave demonstriralo je ovu ranjivost na nekoliko pregledača:

Ranjivost Perplexity Comet-a

Napad na Comet iskorišćava njegovu funkciju analize skrinšotova veb-stranica.

• Metoda napada: Napadači ugrađuju maliciozne instrukcije kao gotovo nevidljiv tekst unutar slike. Brave je uspešno demonstrirao napad koristeći "bledoplavi tekst na žutoj pozadini".
• Citat iz istraživanja: „Napadač ugrađuje maliciozne instrukcije u veb-sadržaj koje su ljudima teško vidljive. U našem napadu, uspeli smo da sakrijemo instrukcije za ubrizgavanje komandi u slike koristeći bledi svetloplavi tekst na žutoj pozadini. To znači da su maliciozne instrukcije efektivno skrivene od korisnika.“ – Objašnjenje iz blog posta kompanije Brave.
• Proces: Kada korisnik napravi skrinšot stranice i zatraži od AI asistenta da ga analizira, AI ekstrahuje skriveni tekst i izvršava zlonamernu komandu.

Ranjivost Felou pregledača

Istraživači su uspeli da zaobiđu bezbednosne parametre i kod AI pregledača Felou.

• Metoda napada: Kada korisnik zatraži od pregledača da poseti određeni veb-sajt, pregledač šalje sadržaj te stranice svom jezičkom modelu (LLM) na obradu.
• Proces: Ako stranica sadrži malicioznu komandu, AI na kraju šalje i korisnikovu komandu i zlonamernu komandu jezičkom modelu, što dovodi do izvršavanja neautorizovanih radnji.

Sistemski problem i reakcije industrije

Brave naglašava da ovi propusti nisu izolovani slučajevi, već sistemski problem koji pogađa čitavu klasu AI pregledača.

• Citat iz objave kompanije Brave: „Bezbednosna ranjivost koju smo pronašli u Perplexity Comet pregledaču ovog leta nije izolovan slučaj. Indirektno ubrizgavanje komandi je sistemski problem sa kojim se suočavaju Comet i drugi AI pregledači.“ – Objava kompanije Brave na društvenim mrežama.

Kompanija OpenAI je takođe javno priznala postojanje rizika prilikom lansiranja svog pregledača Atlas.

• Priznanje rizika: Tokom prenosa uživo povodom predstavljanja Atlasa, zaposleni u OpenAI je izjavio: „Uprkos svoj snazi i sjajnim mogućnostima koje dobijate deljenjem svog pregledača sa ChatGPT-jem, to takođe nosi i potpuno novi set rizika.“
• Nedostatak transparentnosti: Iako je OpenAI naveo da Atlas ne može pristupiti drugim podacima na računaru van otvorenih tabova, kompanija nije pojasnila na koji način je njen pregledač zaštićen od napada ubrizgavanjem komandi.
• Reakcije korisnika: Na društvenim mrežama su se pojavile tvrdnje korisnika da je i Atlas podložan sličnim napadima kao i Comet.

Izvor: MINT