Новая атака под названием «CometJacking» использует параметры URL для передачи в браузер Comet AI от Perplexity скрытых инструкций, которые позволяют получить доступ к конфиденциальным данным из подключенных сервисов, таких как электронная почта и календарь.
В типичном сценарии не требуется ни ввод учётных данных, ни взаимодействие пользователя: злоумышленник может осуществить атаку, просто предоставив целевым пользователям специально сформированный вредоносный URL.
Comet — это агентный ИИ-браузер, который может автономно просматривать веб-страницы и, в зависимости от имеющихся у него разрешений, помогать пользователям выполнять различные задачи: управление электронной почтой, поиск товаров, заполнение форм или бронирование билетов.
Несмотря на существенные пробелы в системе безопасности, о чём свидетельствует недавнее исследование Guardio Labs, популярность инструмента постоянно растёт.
Методика атаки CometJacking была разработана исследователями компании LayerX, которые сообщили о своих находках в Perplexity в конце августа. Однако команда Perplexity заявила, что не усмотрела проблемы, отметив отчёт как «неподходящий».
Механизм работы CometJacking
CometJacking — это атака типа prompt-injection (инъекция подсказки), при которой строка запроса, обрабатываемая браузером Comet AI, содержит вредоносные инструкции, добавленные через параметр ‘collection’ в URL.
По словам исследователей LayerX, вредоносная подсказка инструктирует агента обращаться к памяти и подключённым сервисам вместо поиска в интернете. Поскольку ИИ-инструмент интегрирован с различными сервисами, злоумышленник, применяющий метод CometJacking, может получать доступ к доступным данным.
В ходе испытаний исследователи получили доступ, в частности, к приглашениям Google Calendar и сообщениям Gmail; вредоносная подсказка включала инструкции по кодированию конфиденциальных данных в base64 и их отправке на внешний сервер.
Согласно исследованию, Comet выполнил ряд инструкций и передал информацию на внешний ресурс, подконтрольный злоумышленнику, обойдя проверки Perplexity.
В практическом применении атакующий мог бы отправить специально сформированный CometJacking-URL цели по электронной почте или разместить его на веб-странице, по которой потенциальная жертва может перейти.
«Хотя Perplexity внедряет меры защиты для предотвращения прямой утечки конфиденциальных данных пользователя, эти механизмы не препятствуют отправке информации, которая была преднамеренно зашифрована или закодирована перед покиданием браузера», — отмечают в LayerX.
«В рамках нашего proof-of-concept мы показали, что экспорт чувствительных полей в закодированной (base64) форме позволяет эффективно обойти проверки платформы, и такой закодированный пакет может быть отправлен без активации существующих механизмов защиты».
Исследователи также обращают внимание, что CometJacking может использоваться не только для кражи данных: та же техника позволяет инструктировать ИИ-агента на выполнение действий от имени пользователя, например, отправку электронных писем из его учётной записи или поиск файлов во внутренней корпоративной сети.
Атака отличается обманчивой простотой и высокой эффективностью, позволяя незаметно похищать конфиденциальные данные пользователей Comet. Тем не менее, разработчики ИИ-браузера не разделяют опасения экспертов LayerX: направленные 27 августа (prompt injection) и 28 августа (утечка данных) отчёты были отклонены.
«После рассмотрения вашего сообщения мы не обнаружили значимого влияния на безопасность», — заявила команда Perplexity.
«Это простая инъекция подсказки, не приводящая к негативным последствиям. В связи с этим результат отмечен как “неприменимый”».
BleepingComputer также обратился в Perplexity с вопросом о возможности пересмотра оценки риска или о том, планируют ли они устранять угрозу CometJacking, однако на момент публикации ответа получено не было.
Источник: Bleeping Computer
Исследование LayerX показало рабочий PoC: вредоносная строка запроса (параметр в URL) содержала зашифрованные/обфусцированные инструкции, которые обошли встроенные фильтры и привели к эксфильтрации писем и метаданных что упрощает работу новичкам.
Такой тип атаки, как CommetJacking, вызывает серьезные опасения в области кибербезопасности. Уязвимости в браузере Comet позволяют злоумышленникам получать доступ к электронной почте пользователей без их ведома. Необходимо как можно скорее выпустить обновления безопасности и предупредить пользователей об опасности.
Ужасно, что даже браузер может быть использован для кражи личной информации! Пользователи должны быть осторожны и, возможно, временно прекратить использование Comet, пока разработчики не устранят проблему.
Это тревожная уязвимость — атаки типа CommetJacking показывают, насколько важно своевременно обновлять браузеры и сервисы. Надеюсь, разработчики Comet оперативно выпустят патч и подробно объяснят пользователям, какие шаги предпринять для защиты.
BleepingComputer также обратился в Perplexity с вопросом о возможности пересмотра оценки риска или о том, планируют ли они устранять угрозу CometJacking, однако на момент публикации ответа получено не было.
Все хорошо но и есть большие минусы.Надо быть внимательным.
Я вообще не айтишник, но вся эта история с CometJacking меня реально напрягает. Сидишь себе спокойно, ищешь рецепт борща — а потом оказывается, что твой браузер уже кому-то шлёт твои письма. От этого прям хочется выдернуть интернет-кабель и жить с бумажным календарём. Почему технологии делают жизнь удобнее, но спокойнее — никогда?
Вот ведь ирония, делаем ИИ, чтобы он помогал нам, а в итоге он становится идеальным оружием против нас самих. Когда ИИ слепо выполняет команды из URL и шлет твои письма в base64 на сервер злоумышленника, это уже дыра размером с ворота. Удобство не должно превращаться в добровольную раздачу данных тем, кто просто умеет правильно составить ссылку