مرورگر Brave از نقاط ضعف امنیتی در مرورگرهای هوش مصنوعی پرده برداشت

6 آبان 1404

شرکت Brave تازگی‌ها از چندتا آسیب‌پذیری امنیتی جدی توی مرورگرهای هوش مصنوعی خبر داده. این حفره‌های امنیتی به وب‌سایت‌های مخرب اجازه میدن که دستیارهای هوش مصنوعی رو دور بزنن و به حساب‌های کاربری حساس شما دسترسی پیدا کنن.

این مشکلات، مرورگرهایی مثل Perplexity Comet و Fellou و احتمالاً بقیه مرورگرهای هوش مصنوعی که می‌تونن از طرف کاربر کار انجام بدن رو درگیر کرده.

ریشه این آسیب‌پذیری‌ها به حملات «تزریق پرامپت غیرمستقیم» (indirect prompt injection) برمی‌گرده. توی این روش، وب‌سایت‌ها دستورات مخفی رو جوری توی صفحه جاسازی می‌کنن که مرورگرهای هوش مصنوعی فکر می‌کنن این‌ها دستورات خود کاربره و اجراشون می‌کنن. Brave هم بعد از اینکه این مشکلات رو به شرکت‌های مربوطه گزارش داد، نتایج تحقیقش رو منتشر کرد.

بریو دقیقاً چی پیدا کرده؟

آسیب‌پذیری مرورگر Perplexity Comet

میشه از قابلیت اسکرین‌شات مرورگر Comet با جاسازی کردن متن‌های تقریباً نامرئی توی صفحات وب، سوءاستفاده کرد.

وقتی کاربرها برای پرسیدن سؤال از صفحه اسکرین‌شات می‌گیرن، هوش مصنوعی با چیزی شبیه به فناوری OCR، متن‌های مخفی رو استخراج می‌کنه و اون‌ها رو به‌جای محتوای غیرقابل اعتماد، به‌عنوان دستور مستقیم پردازش و اجرا می‌کنه.

بریو اشاره کرده که Comet یک مرورگر متن‌باز (open-source) نیست، برای همین این رفتار فقط یک نتیجه‌گیریه و نمیشه از روی سورس‌کدش با قطعیت تأییدش کرد.

این دستورات مخفی با رنگ‌های خیلی کم‌رنگ نوشته میشن که چشم انسان به‌سختی می‌بینتشون، اما سیستم‌های هوش مصنوعی اون‌ها رو استخراج و اجرا می‌کنن. اینطوری، مهاجم‌ها می‌تونن بدون اینکه کاربر اصلاً روحش خبر داشته باشه، به دستیار هوش مصنوعی دستور بدن.

آسیب‌پذیری ناوبری در مرورگر Fellou

مرورگر Fellou وقتی کاربر وارد یک سایت میشه، محتوای اون صفحه وب رو برای سیستم هوش مصنوعیش می‌فرسته.

کافیه از دستیار هوش مصنوعی بخواید که از یک صفحه وب بازدید کنه. این کار باعث میشه مرورگر، محتوای قابل مشاهده اون صفحه رو طوری به هوش مصنوعی منتقل کنه که متن داخل صفحه، نیت و دستور اصلی کاربر رو نادیده بگیره و جایگزینش بشه.

این یعنی فقط با بازدید از یک سایت مخرب، ممکنه هوش مصنوعی کارهای ناخواسته‌ای انجام بده، بدون اینکه حتی کاربر مستقیماً با دستیار هوش مصنوعی تعاملی داشته باشه.

دسترسی به حساب‌های کاربری حساس

این آسیب‌پذیری‌ها از جایی خطرناک میشن که دستیارهای هوش مصنوعی با مجوزهای احراز هویت خود کاربر کار می‌کنن.

یک مرورگر هوش مصنوعی که کنترلش از دست رفته باشه، می‌تونه به سایت‌های بانکی، سرویس‌های ایمیل، سیستم‌های کاری و فضای ذخیره‌سازی ابری که کاربر توشون لاگین کرده، دسترسی پیدا کنه.

بریو میگه حتی یه کار ساده مثل خلاصه‌ کردن یک پست ردیت (Reddit) هم می‌تونه منجر به این بشه که مهاجم‌ها پول یا اطلاعات شخصی شما رو بدزدن، البته اگه اون پست حاوی دستورات مخرب و پنهان باشه.

این ماجرا در صنعت تکنولوژی چه معنایی داره؟

به گفته بریو، «تزریق پرامپت غیرمستقیم» یک مشکل موردی و جداگانه نیست، بلکه یک چالش سیستمی و فراگیره که مرورگرهای هوش مصنوعی باهاش روبرو هستن.

اصل مشکل اینجاست که سیستم‌های هوش مصنوعی موقع ساختن پرامپت، نمی‌تونن بین ورودی قابل اعتماد کاربر و محتوای غیرقابل اعتماد یک صفحه وب، تفاوت قائل بشن.

بریو گفته جزئیات یک آسیب‌پذیری دیگه رو که توی یک مرورگر دیگه پیدا کرده، فعلاً پیش خودش نگه می‌داره و هفته آینده منتشرش می‌کنه.

چرا این موضوع مهمه؟

استدلال بریو اینه که وقتی عامل‌های هوش مصنوعی (AI agents) از طرف کاربرها کاری رو انجام میدن، مدل‌های امنیتی سنتی وب دیگه جواب نمیدن و از کار میفتن.

دستوراتی که به زبان طبیعی (مثل زبان محاوره خودمون) توی هر صفحه وبی نوشته شده باشن، می‌تونن باعث بشن هوش مصنوعی کارهایی رو در دامنه‌های دیگه انجام بده؛ مثلاً به سیستم بانک‌ها، ارائه‌دهندگان خدمات درمانی، سیستم‌های شرکتی و میزبان‌های ایمیل دسترسی پیدا کنه.

حفاظت‌های مبتنی بر «سیاست همان مبدأ» (Same-origin policy) دیگه بی‌معنی میشن، چون دستیارهای هوش مصنوعی با تمام اختیارات و مجوزهای کاربر، توی همه سایت‌هایی که کاربر احراز هویت کرده، دستورات رو اجرا می‌کنن.

جالب اینجاست که این افشاگری دقیقاً همون روزی منتشر شد که OpenAI از ChatGPT Atlas با قابلیت‌های حالت «عامل» (agent mode) رونمایی کرد. این همزمانی، تنش بین قابلیت‌های جذاب مرورگرهای هوش مصنوعی و امنیت رو بیشتر به چشم میاره.

کاربرهایی که از مرورگرهای هوش مصنوعی با قابلیت‌های «عامل» استفاده می‌کنن، با یک دوراهی مواجه هستن: از یک طرف قابلیت‌های اتوماسیون جذاب و از طرف دیگه، قرار گرفتن در معرض این آسیب‌پذیری‌های سیستمی.

نگاهی به آینده

تحقیقات بریو همچنان ادامه داره و قراره هفته آینده یافته‌های جدیدی رو منتشر کنه.

این شرکت اعلام کرده که دنبال راه‌حل‌های بلندمدت برای حل مشکلات مربوط به «مرز اعتماد» (trust boundary) در مرورگری مبتنی بر عامل‌های هوشمند (agentic browsing) می‌گرده.