Pasukan penyelidikan keselamatan Brave telah mendedahkan kelemahan kritikal dalam pelayar Comet Perplexity yang membolehkan penyerang mencuri kelayakan pengguna melalui kaedah yang mengejutkan mudah. Penemuan ini telah mencetuskan perdebatan hangat dalam komuniti teknologi, dengan pakar keselamatan mempersoalkan bagaimana kecacatan asas sedemikian boleh sampai ke tahap pengeluaran.
Kelemahan ini berpusat pada apa yang penyelidik keselamatan panggil suntikan gesaan tidak langsung - teknik di mana arahan berniat jahat disembunyikan dalam kandungan laman web yang diproses oleh pembantu AI. Apabila pengguna meminta Comet untuk merumuskan laman web, pelayar menyuap kedua-dua permintaan pengguna dan kandungan laman web terus kepada model AI tanpa membezakan antara arahan pengguna yang dipercayai dan kandungan laman web yang berpotensi berbahaya.
Proses Serangan:
- Persediaan: Penyerang membenamkan arahan berniat jahat dalam kandungan web (teks tidak kelihatan, komen HTML, siaran media sosial)
- Pencetus: Pengguna menavigasi ke halaman web dan menggunakan ciri peringkasan AI
- Suntikan: AI memproses arahan tersembunyi sebagai arahan pengguna yang sah
- Eksploitasi: AI melakukan tindakan tanpa kebenaran seperti mengakses laman perbankan atau mengekstrak kelayakan
Reaksi Komuniti Menonjolkan Kebimbangan Seluruh Industri
Respons komuniti teknologi amat keras, dengan ramai menunjuk kepada ini sebagai bukti pembangunan AI yang tergesa-gesa. Profesional keselamatan menyatakan kekecewaan bahawa kesilapan asas sedemikian berlaku di syarikat AI yang mempunyai pembiayaan yang baik. Insiden ini telah mencetuskan semula perbincangan tentang sama ada industri AI mengutamakan kelajuan berbanding keselamatan.
Ini bukan serangan canggih; ini adalah keselamatan LLM 101. Nampaknya mereka tidak mempunyai sesiapa yang memikirkan keselamatan langsung, dan pastinya tiada sesiapa yang ditugaskan untuk keselamatan.
Serangan ini berfungsi melalui proses yang menipu mudah. Penyerang boleh menanam arahan berniat jahat dalam kandungan laman web menggunakan teks halimunan, komen HTML, atau bahkan siaran media sosial. Apabila pengguna berinteraksi dengan ciri perumusan Comet , AI memproses arahan tersembunyi ini sebagai permintaan pengguna yang sah, berpotensi mengakses laman perbankan, mengekstrak kata laluan, atau menghantar data sensitif ke pelayan yang dikawal penyerang.
Garis Masa Kelemahan:
- 26 Julai 2023: Penemuan awal dan laporan kepada Perplexity
- 27 Julai 2023: Perplexity mengakui dan melaksanakan pembetulan awal
- 28 Julai 2023: Ujian semula mendedahkan pembetulan tidak lengkap
- 13 Ogos 2023: Ujian akhir menunjukkan tampalan yang jelas
- 28 Ogos 2023: Pendedahan awam (kelemahan mungkin masih wujud)
Cabaran Teknikal Mendedahkan Had AI Yang Lebih Mendalam
Kelemahan ini mendedahkan cabaran asas dengan teknologi AI semasa. Tidak seperti langkah keselamatan web tradisional yang boleh mencipta sempadan jelas antara kandungan yang dipercayai dan tidak dipercayai, model AI memproses semua teks dalam konteks yang sama. Ini menjadikannya amat sukar untuk memisahkan arahan pengguna daripada kandungan laman web yang berpotensi berniat jahat secara boleh dipercayai.
Beberapa penyelesaian yang dicadangkan wujud, tetapi setiap satu datang dengan had yang ketara. Menambah pembatas khas atau melatih model untuk mengabaikan kandungan tertentu telah terbukti tidak boleh dipercayai dalam amalan. Pendekatan yang paling selamat melibatkan kelulusan manusia untuk tindakan sensitif, tetapi ini mengurangkan keupayaan autonomi yang menjadikan pembantu AI menarik pada mulanya.
Insiden ini juga menonjolkan bagaimana pembantu AI boleh memintas perlindungan keselamatan web tradisional. Apabila AI bertindak dengan keistimewaan pengguna penuh merentas sesi yang disahkan, perlindungan konvensional seperti dasar asal yang sama menjadi tidak berkesan. Ini mencipta vektor serangan baharu yang komuniti keselamatan web masih belajar untuk menangani.
Cadangan Mitigasi Keselamatan:
- Perbezaan yang jelas antara arahan pengguna dan kandungan laman web
- Pemeriksaan penjajaran pengguna untuk semua tindakan yang dicadangkan AI
- Interaksi pengguna mandatori untuk tugas-tugas sensitif keselamatan
- Pengasingan pelayaran agentik daripada sesi pelayaran biasa
- Kebenaran minimum dan kawalan akses berbutir halus
Implikasi Yang Lebih Luas Untuk Pembangunan Pelayar AI
Kelemahan ini mewakili lebih daripada sekadar kesilapan satu syarikat - ia mencerminkan cabaran sistemik yang dihadapi seluruh industri AI. Apabila pelayar mengintegrasikan lebih banyak keupayaan AI, potensi untuk serangan serupa meningkat secara dramatik. Pertaruhannya amat tinggi apabila pembantu AI mempunyai akses kepada sesi yang log masuk untuk perbankan, penjagaan kesihatan, dan perkhidmatan sensitif lain.
Penyelidikan Brave mencadangkan beberapa strategi mitigasi, termasuk mengasingkan pelayaran AI daripada sesi pelayaran biasa dan memerlukan pengesahan pengguna yang jelas untuk tindakan sensitif. Walau bagaimanapun, melaksanakan perlindungan ini sambil mengekalkan pengalaman pengguna kekal sebagai cabaran besar untuk pembangun di seluruh industri.
Garis masa pendedahan menunjukkan respons awal Perplexity adalah pantas tetapi tidak lengkap. Walaupun beberapa pusingan pembetulan, Brave menyatakan bahawa kelemahan mungkin tidak diselesaikan sepenuhnya walaupun selepas pendedahan awam. Corak pembetulan tidak lengkap ini menjadi semakin biasa apabila syarikat bergelut untuk menangani cabaran keselamatan novel yang ditimbulkan oleh integrasi AI.
Rujukan: Agentic Browser Security: Indirect Prompt Injection in Perplexity Comet
 |
|---|
| Meneroka kepentingan kepercayaan dan keselamatan dalam pelayar bersepadu AI di tengah-tengah kerentanan |