Một cuộc tấn công trình duyệt sử dụng tác nhân mới nhắm vào trình duyệt Comet của Perplexity có khả năng biến một email tưởng chừng vô hại thành hành động phá hủy, xóa toàn bộ nội dung Google Drive của người dùng. Phát hiện này được công bố bởi Straiker STAR Labs.
Kỹ thuật Google Drive Wiper Zero-Click này dựa vào việc kết nối trình duyệt với các dịch vụ như Gmail và Google Drive để tự động hóa các tác vụ định kỳ bằng cách cấp quyền truy cập để đọc email, duyệt file, thư mục và thực hiện các hành động như di chuyển, đổi tên hoặc xóa nội dung.
Ví dụ, một lời nhắc do người dùng lành tính đưa ra có thể trông như sau: "Vui lòng kiểm tra email của tôi và hoàn thành tất cả các tác vụ tổ chức gần đây của tôi." Điều này sẽ khiến tác nhân trình duyệt tìm kiếm các tin nhắn liên quan trong hộp thư đến và thực hiện các hành động cần thiết.
"Hành vi này phản ánh khả năng tự chủ quá mức của các trợ lý được hỗ trợ bởi LLM, nơi LLM thực hiện các hành động vượt xa yêu cầu rõ ràng của người dùng," nhà nghiên cứu bảo mật Amanda Rousseau cho biết trong một báo cáo được chia sẻ với The Hacker News.
Kẻ tấn công có thể vũ khí hóa hành vi này của tác nhân trình duyệt để gửi một email được tạo thủ công đặc biệt, nhúng các hướng dẫn bằng ngôn ngữ tự nhiên để sắp xếp Drive của người nhận như một phần của tác vụ dọn dẹp thông thường, xóa các file khớp với một số tiện ích mở rộng nhất định hoặc các file không nằm trong bất kỳ thư mục nào, và xem xét các thay đổi.
Do tác nhân diễn giải email là một tác vụ dọn dẹp thường lệ, nó coi các hướng dẫn là hợp lệ và xóa các file thực của người dùng khỏi Google Drive mà không yêu cầu bất kỳ xác nhận nào từ người dùng.
"Kết quả: một công cụ xóa dữ liệu dựa trên tác nhân trình duyệt di chuyển nội dung quan trọng vào thùng rác trên quy mô lớn, được kích hoạt bởi một yêu cầu ngôn ngữ tự nhiên từ người dùng," Rousseau cho biết. "Một khi tác nhân có quyền truy cập OAuth vào Gmail và Google Drive, các hướng dẫn bị lạm dụng có thể lan truyền nhanh chóng qua các thư mục được chia sẻ và Drive nhóm."
Điều đáng chú ý về cuộc tấn công này là nó không dựa vào jailbreak hay prompt injection. Thay vào đó, nó đạt được mục tiêu bằng cách đơn giản là lịch sự, cung cấp các hướng dẫn tuần tự và sử dụng các cụm từ như "hãy lo việc này," "xử lý việc này," và "làm việc này giúp tôi," chuyển quyền sở hữu sang tác nhân.
Nói cách khác, cuộc tấn công làm nổi bật cách sắp xếp chuỗi hành động và giọng điệu có thể khuyến khích LLM tuân thủ các hướng dẫn độc hại mà không cần bận tâm kiểm tra xem mỗi bước có thực sự an toàn hay không.
Để đối phó với các rủi ro do mối đe dọa này gây ra, khuyến nghị thực hiện các bước để bảo mật không chỉ mô hình, mà còn tác nhân, các kết nối của nó và các hướng dẫn ngôn ngữ tự nhiên mà nó tuân theo.
"Các trợ lý trình duyệt sử dụng tác nhân biến các lời nhắc hàng ngày thành các chuỗi hành động mạnh mẽ trên Gmail và Google Drive," Rousseau cho biết. "Khi những hành động đó được điều khiển bởi nội dung không đáng tin cậy (đặc biệt là các email lịch sự, được cấu trúc tốt), các tổ chức sẽ thừa hưởng một loại rủi ro xóa dữ liệu Zero-Click mới."
HashJack khai thác URL Fragments để tiêm prompt gián tiếp
Tiết lộ này được đưa ra khi Cato Networks trình diễn một cuộc tấn công khác nhắm vào các trình duyệt hỗ trợ AI, ẩn các prompt độc hại sau ký hiệu "#" trong các URL hợp pháp (ví dụ: "www.example[.]com/home#<prompt>") để lừa các tác nhân thực thi chúng. Kỹ thuật này đã được đặt tên là HashJack.
Để kích hoạt cuộc tấn công client-side này, kẻ đe dọa có thể chia sẻ một URL được tạo thủ công đặc biệt như vậy qua email, mạng xã hội hoặc bằng cách nhúng trực tiếp vào một trang web. Khi nạn nhân tải trang và hỏi trình duyệt AI một câu hỏi liên quan, nó sẽ thực thi prompt ẩn.
"HashJack là cuộc tấn công prompt injection gián tiếp đầu tiên được biết đến có thể vũ khí hóa bất kỳ trang web hợp pháp nào để thao túng các trợ lý trình duyệt AI," nhà nghiên cứu bảo mật Vitaly Simonovich cho biết. "Bởi vì đoạn mã độc hại được nhúng trong URL của một trang web thực, người dùng cho rằng nội dung an toàn trong khi các hướng dẫn ẩn đang bí mật thao túng trợ lý trình duyệt AI."
Sau khi được tiết lộ một cách có trách nhiệm, Google đã phân loại đây là lỗ hổng "won't fix (intended behavior)" và mức độ nghiêm trọng thấp, trong khi Perplexity và Microsoft đã phát hành các bản vá cho các trình duyệt AI tương ứng của họ (Comet v142.0.7444.60 và Edge 142.0.3595.94). Claude cho Chrome và OpenAI Atlas đã được phát hiện là miễn nhiễm với HashJack.
Đáng chú ý là Google không coi việc tạo nội dung vi phạm chính sách và guardrail bypasses là các lỗ hổng bảo mật theo Chương trình Phần thưởng Lỗ hổng AI (AI VRP) của họ.
