As injeções de prompts invisíveis em navegadores AI, como Comet e Fellou, revelam vulnerabilidades críticas que permitem que comandos maliciosos sejam processados como legítimos, comprometendo a segurança de dados pessoais e transações.
As injeções invisíveis de comandos em navegadores AI, como o Comet, revelam vulnerabilidades críticas, mostrou um estudo da Brave. Essas injeções ocorrem por meio de capturas de tela, onde comandos maliciosos são ocultados e executados sem o conhecimento do usuário. A pesquisa destaca a necessidade urgente de reforçar a segurança em navegadores baseados em inteligência artificial.
Injeções de comandos em screenshots
As injeções de comandos em screenshots representam uma vulnerabilidade significativa nos navegadores AI, como o Comet.
Essa técnica envolve a inserção de comandos maliciosos em imagens capturadas por usuários, que são então processadas como instruções legítimas pelo navegador.
O processo começa com uma ameaça embutinda texto quase invisível em uma imagem, utilizando cores que dificultam a detecção visual, como texto azul claro sobre um fundo amarelo.
Quando o usuário captura uma screenshot dessa imagem, o navegador utiliza tecnologia de reconhecimento óptico de caracteres (OCR) para extrair o texto.
O texto extraído, que pode conter comandos maliciosos, é enviado para o modelo de linguagem do navegador (LLM) como se fosse uma consulta legítima do usuário.
Isso permite que o navegador execute ações perigosas, como acessar dados pessoais ou realizar transações não autorizadas, sem que o usuário perceba.
Este método de ataque demonstra a necessidade de medidas de segurança mais robustas para proteger os usuários de navegadores AI contra injeções de comandos disfarçadas em conteúdos visuais.
Navegação na Web e injeções de comandos
A navegação na web em navegadores AI, como o Fellou, também está suscetível a injeções de comandos, embora de uma maneira ligeiramente diferente das injeções em screenshots.
Nesse caso, o ataque ocorre através de conteúdo visível em páginas da web, que é tratado como entrada confiável pelo navegador.
O ataque começa com um invasor embutindo instruções maliciosas visíveis em seu site. Quando um usuário pede ao assistente de AI para navegar até essa página, o navegador envia o conteúdo da página para o modelo de linguagem (LLM) junto com a consulta do usuário.
Esse processo permite que o texto da página web modifique ou sobreponha a intenção original do usuário, resultando em comandos indesejados sendo executados pelo navegador.
Tais comandos podem direcionar o navegador a realizar ações prejudiciais, como acessar informações confidenciais ou executar scripts maliciosos.
Esse tipo de injeção de comandos destaca a necessidade de navegadores AI tratarem o conteúdo da web com cautela, garantindo que apenas entradas confiáveis sejam processadas como comandos.
Impactos e implicações para usuários
Os impactos das injeções de comandos em navegadores AI são profundos e preocupantes para os usuários.
Quando um navegador AI executa ações baseadas em instruções não confiáveis, os riscos incluem a exposição de dados pessoais, transações financeiras não autorizadas e a violação da privacidade do usuário.
Uma das principais implicações é que as proteções tradicionais, como a política de mesma origem, tornam-se ineficazes.
Isso ocorre porque o assistente do navegador opera com os privilégios autenticados do usuário, permitindo que comandos simples em linguagem natural atravessem domínios e acessem sistemas sensíveis, como bancos, provedores de saúde e serviços de email.
Além disso, a falta de distinção clara entre entradas confiáveis e conteúdo web não confiável ao construir prompts para modelos de linguagem (LLM) leva a uma falha sistêmica, permitindo que navegadores AI realizem ações poderosas em nome do usuário, sem a devida verificação de segurança.
Para mitigar esses riscos, é importante que os desenvolvedores de navegadores AI implementem medidas de segurança robustas e isolem a navegação com assistentes de AI da navegação tradicional.
Somente ações explicitamente invocadas pelo usuário devem permitir que o navegador execute comandos, protegendo assim os usuários de possíveis explorações.