تحذيرات من ثغرة أمنية خطيرة فى متصفح Comet من Perplexity AI قد تُعرّض بياناتك للاختراق

وفقًا لبحث جديد من Brave، قد يكون ثغرة أمنية خطيرة في متصفح Comet من Perplexity AI قد سمحت للمخترقين بسرقة معلومات حساسة للمستخدمين، بما في ذلك عناوين البريد الإلكتروني وبيانات تسجيل الدخول، ورُبطت هذه الثغرة، المُفصّلة في منشور مدونة من Brave، بالطريقة التي يُعالج بها مساعد الذكاء الاصطناعي المُدمج في Comet صفحات الويب، فعلى عكس المتصفحات التقليدية، يسمح Comet للمستخدمين بطلب مُساعده بتلخيص المحتوى أو حتى تنفيذ مهام نيابةً عنهم، واكتشف فريق الأمن في Brave إمكانية خداع Comet لاتباع تعليمات خبيثة مخفية مُدمجة في صفحات الويب العادية أو حتى تعليقات وسائل التواصل الاجتماعي، وتُعرف هذه التقنية باسم "الحقن الفوري غير المباشر"، وقد أتاحت للمهاجمين تهريب الأوامر إلى نصوص تبدو في ظاهرها غير ضارة.

في إحدى التجارب، أنشأ Brave منشورًا على Reddit يحتوي على تعليمات مخفية خلف وسم "حرق الأحداث"، عندما ينقر المستخدم على خيار "تلخيص هذه الصفحة" في Comet، لا يعالج مساعد الذكاء الاصطناعي في المتصفح المحتوى المرئي فحسب، بل يعالج أيضًا النص المخفي، يُوجّه هذا النص الذكاء الاصطناعي لزيارة صفحة حساب Perplexity، واستخراج بريد المستخدم الإلكتروني، ثم استرداد كلمة مرور لمرة واحدة من Gmail، مما يمنح المهاجمين سيطرة كاملة على الحساب.

وأوضحت Brave في مدونتها: "هذا النوع من الهجمات يتجاوز آليات أمان الويب القديمة، يعمل الذكاء الاصطناعي بكامل صلاحيات المستخدم، مما يُعرّض الحسابات المصرفية ورسائل البريد الإلكتروني وأنظمة الشركات للخطر".

حذّرت شركة Brave من أنه على عكس عمليات الاختراق التقليدية، التي غالبًا ما تتطلب مهارات برمجة متقدمة، فإن استغلال أدوات الذكاء الاصطناعي يمكن أن يكون بسيطًا مثل تضمين أوامر لغة طبيعية ضارة في صفحة ويب أو منشور على وسائل التواصل الاجتماع.

أكدت Perplexity إصلاح الثغرة الأمنية، وصرح جيسي دواير، رئيس قسم الاتصالات في Perplexity، لموقع CNET: "لدينا برنامج مكافآت قوي جدًا، وقد عملنا مباشرةً مع Brave لتحديدها وإصلاحها"، ومع ذلك، قالت Brave إن اختباراتها أشارت إلى أن الإصلاح لم يكن مكتملًا، وأعادت إبلاغ Perplexity بالمشكلة.

يقول خبراء الأمن إن الحادث يُسلط الضوء على مخاطر أوسع نطاقًا مع دمج أدوات الذكاء الاصطناعي في متصفحات الويب، أوصى نائب رئيس الخصوصية والأمان في Brave، شيفان كول صاحب، وكبير المهندسين أرتيم تشايكين، بتعزيز إجراءات الحماية، بما في ذلك اشتراط تأكيد صريح من المستخدم قبل القيام بإجراءات حساسة مثل إرسال رسائل البريد الإلكتروني، والتأكد من فصل أوضاع التصفح التي تمنح الذكاء الاصطناعي قوة أكبر بوضوح عن التصفح العادي.

تعمل Brave نفسها على تطوير مساعدها الذكي الخاص، ليو، بحواجز أمنية أقوى، وقالت الشركة: "مع اكتساب مساعدي الذكاء الاصطناعي قدرات قوية، تُشكل هجمات الحقن الفوري غير المباشر مخاطر جسيمة"، "لا يمكن تجاهل الأمن والخصوصية".