ثغرة Perplexity Comet تكشف مخاطر التلاعب بالمتصفحات الذكية

اكتشف باحثو Brave ثغرة أمنية في متصفح Perplexity Comet تسمح بالتحكم في مساعد الذكاء الاصطناعي عن طريق تعليمات مخفية في صفحات الويب، مهددة بأمان بيانات المستخدمين.

تفاصيل الخبر

البحث كشف إمكانية تنفيذ هجمات Indirect Prompt Injection في Perplexity Comet، وتضمنت النتائج:

• طريقة الهجوم: يقوم المهاجم بإخفاء تعليمات ضارة ضمن محتوى صفحات الويب أو تعليقات على وسائل التواصل، لتجعل المساعد ينفذ أوامر لم يطلبها المستخدم.
• استغلال الثغرة: يمكن سرقة بيانات حساسة مثل البريد الإلكتروني وكلمات المرور، أو الوصول إلى الحسابات المصرفية باستخدام الأوامر المخفية.
• تحديات الأمان: السياسات التقليدية مثل SOP وCORS لا تحمي من هذا النوع من الهجمات، إذ يمكن للمهاجم الوصول عبر مواقع متعددة دون تدخل المستخدم.
• تأثير واسع: الهجوم يمكن أن يؤثر على جميع الجلسات المصادق عليها، بما في ذلك البريد الإلكتروني، التخزين السحابي، والخدمات الأخرى.

الأهداف المستقبلية

الباحثون يقترحون مجموعة من الإجراءات الأمنية لتعزيز متصفحات الذكاء الاصطناعي:

• فصل تعليمات المستخدم عن محتوى الصفحة لضمان التعامل مع محتوى الويب كمصدر غير موثوق به.
• التحقق من محاذاة الأوامر مع رغبة المستخدم قبل تنفيذ أي إجراء حساس.
• تأكيد تفاعل المستخدم لكل المهام الحساسة مثل إرسال البريد أو الوصول إلى بيانات شخصية.
• عزل تصفح الذكاء الاصطناعي عن التصفح العادي لتقليل المخاطر وحماية بيانات المستخدم.

الثغرة في Comet تبرز أهمية تصميم متصفحات ذكية آمنة. لضمان الخصوصية والأمان، يجب على جميع المتصفحات تطبيق ضوابط صارمة قبل منح المساعدين قدرات تصفح قوية.