Дапамажыце dev.by 🤍
Падтрымаць

ШІ-браўзэр Comet можа красці вашы дадзеныя. Perplexity: нічога страшнага

Даследчыкі знайшлі новы спосаб крадзяжу канфідэнцыйных дадзеных з ШІ-браўзера: так можна выкрасці электронныя лісты і дадзеныя календароў карыстальнікаў — без пароля, клікаў і нават ведама ўладальніка акаўнта.

Пакінуць каментарый
ШІ-браўзэр Comet можа красці вашы дадзеныя. Perplexity: нічога страшнага

Даследчыкі знайшлі новы спосаб крадзяжу канфідэнцыйных дадзеных з ШІ-браўзера: так можна выкрасці электронныя лісты і дадзеныя календароў карыстальнікаў — без пароля, клікаў і нават ведама ўладальніка акаўнта.

Эксперты ізраільскай кампаніі ў сферы кібербяспекі LayerX прэзентавалі новы від атакі пад назвай CometJacking, які дазваляе незаўважна выкрадаць дадзеныя карыстальнікаў з сэрвісаў, падключаных да агентнага ШІ-браўзера Comet ад Perplexity.

Паводле дадзеных даследчыкаў, зламысніку дастаткова адправіць ахвяры спецыяльна створаны URL-адрас, каб Comet сам выканаў схаваныя інструкцыі, атрымаўшы доступ да Gmail, календароў і іншых рэсурсаў — без уводу пароля і ўдзелу карыстальніка.

Атака ўяўляе сабой prompt injection праз параметры URL: зламыснік змяшчае ў параметр «collection» схаваныя каманды, якія прымушаюць Comet звяртацца не да вэб-пошуку, а да сваёй памяці і падключаных сэрвісаў.

У тэстах LayerX Comet здабываў з Gmail і Google Calendar канфідэнцыйныя дадзеныя, кадаваў іх у base64 і адпраўляў на знешні сервер атакуючага, абыходзячы ўбудаваныя праверкі Perplexity.

Паводле слоў даследчыкаў, методыка можа выкарыстоўвацца не толькі для крадзяжу дадзеных, але і для выканання дзеянняў ад імя ахвяры, уключаючы рассылку лістоў або пошук файлаў у карпаратыўным асяроддзі.

LayerX паведаміў аб уразлівасці Perplexity у канцы жніўня, але кампанія палічыла справаздачу «неўжывальнай» і адмовілася прызнаць наяўнасць праблемы. «Гэта проста prompt injection, які не мае ўплыву», — адказала каманда бяспекі Perplexity. Пакуль невядома, ці будзе распрацоўшчык пераглядаць сваю ацэнку.

Perplexity зрабіла ШІ-браўзер Comet бясплатным
Perplexity зрабіла ШІ-браўзер Comet бясплатным
Па тэме
Perplexity зрабіла ШІ-браўзер Comet бясплатным
Opera прэзентавала ШІ-браўзер які ўмее пісаць код
Opera прэзентавала ШІ-браўзер, які ўмее пісаць код
Па тэме
Opera прэзентавала ШІ-браўзер, які ўмее пісаць код
Google радыкальна абнавіла Chrome: цяпер бясплатная Gemini проста ў браўзеры
Google радыкальна абнавіла Chrome: цяпер бясплатная Gemini проста ў браўзеры
Па тэме
Google радыкальна абнавіла Chrome: цяпер бясплатная Gemini проста ў браўзеры
Чытайце таксама
Экс-інжынер Nvidia распавяла, як прасунуцца ў ШІ і не адстаць
Экс-інжынер Nvidia распавяла, як прасунуцца ў ШІ і не адстаць
Экс-інжынер Nvidia распавяла, як прасунуцца ў ШІ і не адстаць
Чат-боты згаджаюцца з памылкамі ў промптах, калі іх не папярэдзіць
Чат-боты згаджаюцца з памылкамі ў промптах, калі іх не папярэдзіць
Чат-боты згаджаюцца з памылкамі ў промптах, калі іх не папярэдзіць
На «Горызонце» сказалі, калі можна будзе купіць першы беларускі планшэт
На «Горызонце» сказалі, калі можна будзе купіць першы беларускі планшэт
На «Горызонце» сказалі, калі можна будзе купіць першы беларускі планшэт
4 каментарыя
ШІ спрабуе пазбегнуць адключэння любым коштам — даследаванне
ШІ спрабуе пазбегнуць адключэння любым коштам — даследаванне
ШІ спрабуе пазбегнуць адключэння любым коштам — даследаванне
5 каментарыяў

Хочаце паведаміць важную навіну? Пішыце ў Telegram-бот

Галоўныя падзеі і карысныя спасылкі ў нашым Telegram-канале

Абмеркаванне
Каментуйце без абмежаванняў

Рэлацыраваліся? Цяпер вы можаце каментаваць без верыфікацыі акаўнта.

Каментарыяў пакуль няма.