تحذيرات من ثغرة أمنية خطيرة في متصفح Comet من Perplexity AI قد تُعرّض بياناتك للاختراق
وفقًا لأبحاث جديدة أجرتها شركة Brave قد اكتشف وجود ثغرة أمنية خطيرة في متصفح Comet التابع لـ Perplexity AI قد سمحت للمخترقين بسرقة معلومات حساسة للمستخدمين مثل عناوين البريد الإلكتروني وبيانات تسجيل الدخول وقد ارتبطت هذه الثغرة بطريقة معالجة مساعد الذكاء الاصطناعي المُدمج في Comet لصفحات الويب وعلى عكس المتصفحات التقليدية فإن Comet يتيح لمستخدميه طلب تلخيص المحتوى أو تنفيذ مهام أخرى بالنيابة عنهم، وقد اكتشف فريق الأمن في Brave إمكانية خداع Comet لاستقبال تعليمات خبيثة مخفية على هيئة نصوص.
في تجربة عملية أنشأت Brave منشورًا على Reddit يحتوي على تعليمات مخفية تحت وسم “حرق الأحداث” وعندما ينقر المستخدم على خيار “تلخيص هذه الصفحة” يقوم مساعد الذكاء الاصطناعي بمعالجة المحتوى المرئي والنص المخفي ويؤدي هذا النص إلى توجيه الذكاء الاصطناعي لزيارة صفحة حساب Perplexity واستخراج بريد المستخدم الإلكتروني ثم استرداد كلمة مرور لمرة واحدة من Gmail مما يمنح المهاجمين القدرة على السيطرة الكاملة على الحساب.
أوضحت Brave في مدونتها أن هذا النوع من الهجمات يتجاوز آليات أمان الويب التقليدية حيث يعمل الذكاء الاصطناعي بكامل صلاحيات المستخدم مما يعرض الحسابات المصرفية ورسائل البريد الإلكتروني والأنظمة المؤسسية للخطر، مما يشير إلى ضرورة اتخاذ تدابير أمنية أكثر فعالية في بيئات استخدام تقنية الذكاء الاصطناعي.
حذرت شركة Brave من أن استغلال أدوات الذكاء الاصطناعي قد يكون أبسط من الهجمات التقليدية التي تتطلب مهارات برمجة متقدمة بما في ذلك تضمين أوامر لغة طبيعية ضارة في صفحات الويب أو المنشورات على وسائل التواصل الاجتماعي، وهذا الأمر يزيد من تعقيد كيفية حماية البيانات الحساسة للمستخدمين ويستدعي المزيد من الاهتمام من قبل المطورين.
أكدت Perplexity أنها قامت بإصلاح الثغرة الأمنية وصرح جيسي دواير رئيس قسم الاتصالات أنه تم تنفيذ برنامج مكافآت فعال للغاية وتعاونوا مع Brave لتحديد المشكلة وإصلاحها، ورغم ذلك قالت Brave إن اختباراتهم أظهرت أن الإصلاح لم يكن كاملاً وأعادوا إبلاغ Perplexity بالمشكلة مما يستدعي مزيدًا من الجهود لضمان الأمان.
يشير خبراء الأمن إلى أن الحادث يُسلط الضوء على مخاطر أوسع مع دمج أدوات الذكاء الاصطناعي في متصفحات الويب حيث أوصوا باتخاذ إجراءات حماية إضافية مثل طلب تأكيد صريح من المستخدم قبل تنفيذ إجراءات حساسة مثل إرسال رسائل البريد الإلكتروني، وضرورة فصل أوضاع التصفح التي تمنح الذكاء الاصطناعي سلطات أكبر عن التصفح العادي لضمان حماية البيانات.
تعمل شركة Brave نفسها على تطوير مساعدها الذكي الخاص الذي يحمل اسم ليو مع حواجز أمنية محسنة وأشارت إلى أن مساعدي الذكاء الاصطناعي يتطلبون المراقبة الدقيقة مع زيادة قدراتهم، لذا يجب عدم تجاهل موضوع الأمن والخصوصية في ظل تزايد المخاطر المرتبطة بهجمات الحقن الفوري غير المباشر في متصفحات الويب الحديثة.
