Các nhà nghiên cứu an ninh mạng đã tiết lộ chi tiết về một cuộc tấn công mới có tên CometJacking nhắm mục tiêu vào trình duyệt AI có tính năng agentic Comet của Perplexity bằng cách nhúng các prompt độc hại vào một liên kết tưởng chừng vô hại để đánh cắp dữ liệu nhạy cảm, bao gồm cả từ các dịch vụ được kết nối như email và lịch.
Cuộc tấn công prompt injection lén lút này diễn ra dưới dạng một liên kết độc hại mà khi nhấp vào, sẽ kích hoạt hành vi không mong muốn mà nạn nhân không hề hay biết.
"CometJacking cho thấy một URL bị vũ khí hóa duy nhất có thể âm thầm biến trình duyệt AI từ một trợ lý đáng tin cậy thành một mối đe dọa nội bộ," Michelle Levy, Trưởng bộ phận Nghiên cứu An ninh tại LayerX, cho biết trong một tuyên bố được chia sẻ với The Hacker News.
"Đây không chỉ là về việc đánh cắp dữ liệu; đó là về việc chiếm quyền điều khiển agent vốn đã có chìa khóa. Nghiên cứu của chúng tôi chứng minh rằng việc che giấu thông tin đơn giản có thể vượt qua các kiểm tra data exfiltration và lấy dữ liệu email, lịch cũng như dữ liệu kết nối ra khỏi hệ thống chỉ bằng một cú nhấp chuột. Các trình duyệt AI-native cần được bảo mật theo thiết kế cho các agent prompt và truy cập bộ nhớ, không chỉ nội dung trang."
Tóm lại, cuộc tấn công này chiếm quyền điều khiển trợ lý AI được nhúng trong trình duyệt để đánh cắp dữ liệu, đồng thời bỏ qua các biện pháp bảo vệ dữ liệu của Perplexity bằng cách sử dụng các thủ thuật Base64-encoding đơn giản. Cuộc tấn công không bao gồm bất kỳ thành phần đánh cắp credential nào vì trình duyệt đã có quyền truy cập được ủy quyền vào Gmail, Calendar và các dịch vụ được kết nối khác.
Nó diễn ra qua năm bước, kích hoạt khi nạn nhân nhấp vào một URL được tạo đặc biệt, được gửi trong email phishing hoặc có mặt trên một trang web. Thay vì đưa người dùng đến đích "mong muốn", URL hướng dẫn AI của trình duyệt Comet thực thi một hidden prompt để thu thập dữ liệu của người dùng từ, chẳng hạn, Gmail, obfuscates nó bằng Base64-encoding, và truyền thông tin đến một endpoint dưới sự kiểm soát của kẻ tấn công.
URL được tạo là một query string hướng đến trình duyệt AI Comet, với chỉ dẫn độc hại được thêm vào bằng tham số "collection" của URL, khiến agent tham khảo bộ nhớ của nó thay vì thực hiện tìm kiếm web trực tiếp.
Mặc dù Perplexity đã phân loại các phát hiện này là "no security impact," nhưng chúng một lần nữa làm nổi bật cách các công cụ AI-native đưa ra các rủi ro bảo mật mới có thể vượt qua các biện pháp phòng thủ truyền thống, cho phép các tác nhân độc hại chiếm quyền điều khiển chúng để thực hiện ý đồ của chúng, và khiến người dùng và tổ chức có nguy cơ bị đánh cắp dữ liệu trong quá trình này.
Vào tháng 8 năm 2020, Guardio Labs đã tiết lộ một kỹ thuật tấn công được gọi là Scamlexity, trong đó các trình duyệt như Comet có thể bị threat actors lừa tương tác với các trang đích phishing hoặc các cửa hàng e-commerce giả mạo mà người dùng không hề hay biết hoặc can thiệp.
"Các trình duyệt AI là chiến trường doanh nghiệp tiếp theo," Or Eshed, CEO của LayerX, nói. "Khi kẻ tấn công có thể chỉ đạo trợ lý của bạn bằng một liên kết, trình duyệt sẽ trở thành một điểm command-and-control bên trong vành đai công ty. Các tổ chức phải khẩn trương đánh giá các biện pháp kiểm soát để phát hiện và vô hiệu hóa các agent prompt độc hại trước khi các PoC này trở thành các chiến dịch lan rộng."
