Дапамажыце dev.by 🤍
Падтрымаць

ШІ-браўзэр Comet можа красці вашы дадзеныя. Perplexity: нічога страшнага

Даследчыкі знайшлі новы спосаб крадзяжу канфідэнцыйных дадзеных з ШІ-браўзера: так можна выкрасці электронныя лісты і дадзеныя календароў карыстальнікаў — без пароля, клікаў і нават ведама ўладальніка акаўнта.

Пакінуць каментарый
ШІ-браўзэр Comet можа красці вашы дадзеныя. Perplexity: нічога страшнага

Даследчыкі знайшлі новы спосаб крадзяжу канфідэнцыйных дадзеных з ШІ-браўзера: так можна выкрасці электронныя лісты і дадзеныя календароў карыстальнікаў — без пароля, клікаў і нават ведама ўладальніка акаўнта.

Эксперты ізраільскай кампаніі ў сферы кібербяспекі LayerX прэзентавалі новы від атакі пад назвай CometJacking, які дазваляе незаўважна выкрадаць дадзеныя карыстальнікаў з сэрвісаў, падключаных да агентнага ШІ-браўзера Comet ад Perplexity.

Паводле дадзеных даследчыкаў, зламысніку дастаткова адправіць ахвяры спецыяльна створаны URL-адрас, каб Comet сам выканаў схаваныя інструкцыі, атрымаўшы доступ да Gmail, календароў і іншых рэсурсаў — без уводу пароля і ўдзелу карыстальніка.

Атака ўяўляе сабой prompt injection праз параметры URL: зламыснік змяшчае ў параметр «collection» схаваныя каманды, якія прымушаюць Comet звяртацца не да вэб-пошуку, а да сваёй памяці і падключаных сэрвісаў.

У тэстах LayerX Comet здабываў з Gmail і Google Calendar канфідэнцыйныя дадзеныя, кадаваў іх у base64 і адпраўляў на знешні сервер атакуючага, абыходзячы ўбудаваныя праверкі Perplexity.

Паводле слоў даследчыкаў, методыка можа выкарыстоўвацца не толькі для крадзяжу дадзеных, але і для выканання дзеянняў ад імя ахвяры, уключаючы рассылку лістоў або пошук файлаў у карпаратыўным асяроддзі.

LayerX паведаміў аб уразлівасці Perplexity у канцы жніўня, але кампанія палічыла справаздачу «неўжывальнай» і адмовілася прызнаць наяўнасць праблемы. «Гэта проста prompt injection, які не мае ўплыву», — адказала каманда бяспекі Perplexity. Пакуль невядома, ці будзе распрацоўшчык пераглядаць сваю ацэнку.

Perplexity зрабіла ШІ-браўзер Comet бясплатным
Perplexity зрабіла ШІ-браўзер Comet бясплатным
Па тэме
Perplexity зрабіла ШІ-браўзер Comet бясплатным
Opera прэзентавала ШІ-браўзер які ўмее пісаць код
Opera прэзентавала ШІ-браўзер, які ўмее пісаць код
Па тэме
Opera прэзентавала ШІ-браўзер, які ўмее пісаць код
Google радыкальна абнавіла Chrome: цяпер бясплатная Gemini проста ў браўзеры
Google радыкальна абнавіла Chrome: цяпер бясплатная Gemini проста ў браўзеры
Па тэме
Google радыкальна абнавіла Chrome: цяпер бясплатная Gemini проста ў браўзеры
Чытайце таксама
В России создали бесплатного конкурента генератора картинок DALL-E 2
В России создали бесплатного конкурента генератора картинок DALL-E 2
В России создали бесплатного конкурента генератора картинок DALL-E 2
2 каментарыя
Hyundai запустила институт искусственного интеллекта
Hyundai запустила институт искусственного интеллекта
Hyundai запустила институт искусственного интеллекта
Авторы фильма с помощью дипфейков убрали 30 фраз со словом «f*ck», чтобы смягчить возрастной рейтинг
Авторы фильма с помощью дипфейков убрали 30 фраз со словом «f*ck», чтобы смягчить возрастной рейтинг
Авторы фильма с помощью дипфейков убрали 30 фраз со словом «f*ck», чтобы смягчить возрастной рейтинг
1 каментарый
Tencent разработала нейросеть для восстановления старых фотографий
Tencent разработала нейросеть для восстановления старых фотографий
Tencent разработала нейросеть для восстановления старых фотографий

Хочаце паведаміць важную навіну? Пішыце ў Telegram-бот

Галоўныя падзеі і карысныя спасылкі ў нашым Telegram-канале

Абмеркаванне
Каментуйце без абмежаванняў

Рэлацыраваліся? Цяпер вы можаце каментаваць без верыфікацыі акаўнта.

Каментарыяў пакуль няма.