MINNER

KOLLAB
ELŐNY
AI / MIDigitális eszközök

AI ügynökök már a böngésződben is, de ez miért nem jó neked (még)

Szerző: Kertvéllesy András

Dátum

Megosztás

Az AI-alapú böngészők, mint például az OpenAI nemrég bemutatott Atlasa, sokak szerint egy ígéretes jövőképet festenek elénk… Ahelyett, hogy a „kék linkek tengerében” elveszve kattintgatnánk, a böngészés egy intelligens, párbeszédalapú élménnyé válhat, ahol az AI azonnal a lényeget adja a kezünkbe. Összefoglal, vásárol, összehasonlít, szinte mindent megtesz helyettünk (talán még olyat is, amiről mi nem is tudunk, na de erről később). Ahogy a Forbes.hu-n is írja Balogh Petya, ez egy nyílt „hadüzenet a Google-nak”, amely alapjaiban változtathatja meg, hogyan használjuk az internetet.

Ez a kényelem azonban egy teljesen új és rejtett veszélyforrást is magában hordoz. Miközben az iparág a képességek bővítéséért versenyez, a Brave (“az internet legbiztonságosabb böngészője”) biztonsági kutatóinak friss felfedezései kijózanító valóságként hatnak. Olyan alapvető sebezhetőségekre bukkantak, amelyek megkérdőjelezik az új technológia biztonságát, és rávilágítanak, hogy egy egyszerű, ártatlannak tűnő funkció is teljes fiókátvételekhez vezethet.

Egy ártatlan funkció is elég a fiókod ellopásához

A probléma gyökere egy olyan megdöbbentően egyszerű, mégis katasztrofális tervezési mulasztásban rejlik, ami egy tapasztalt kiberbiztonsági szakértőt is elgondolkodtat:

az AI-asszisztens nem tesz különbséget a felhasználó által begépelt megbízható utasítások és a weboldalról származó, potenciálisan rosszindulatú tartalom között

Számára mindkettő egyenértékű parancs, amit végre kell hajtania!

A Brave kutatói ezt először a Perplexity Comet böngészőjén keresztül demonstrálták. A támadási forgatókönyv szerint megkérték az AI-t, hogy foglaljon össze egy Reddit-bejegyzést. Azonban az oldalon volt egy komment, amely egy spoiler jelzés mögé rejtve rosszindulatú utasításokat tartalmazott.

Az AI, miközben az összefoglalót készítette, „elolvasta” és parancsként értelmezte ezeket a rejtett instrukciókat. Ennek eredményeként a böngésző a háttérben más, bejelentkezett oldalakhoz navigált, például a perplexity.ai. (figyeljük a végén a pontot, ami egy okos trükk a hitelesítési szabályok megkerülésére) és a felhasználó Gmail fiókjához, adatokat lopott el (e-mail cím, egyszeri jelszó), majd ezeket az adatokat azzal szivárogtatta ki, és válaszként beillesztette őket az eredeti Reddit-kommenthez.

A legfélelmetesebb az egészben, hogy a támadás teljesen automatikusan, a felhasználó további beavatkozása nélkül zajlott le, mindössze egyetlen „Összefoglalod ezt az oldalt?” kérés után. A felhasználó ebből semmit sem vett észre.

A hagyományos webes védelem zéró

Az a baj, hogy az évtizedek óta bevált webes biztonsági mechanizmusok, mint például a same-origin policy (SOP) vagy a cross-origin resource sharing (CORS), teljesen hatástalanok az ilyen típusú támadásokkal szemben. Ezek a védelmi rendszerek azt hivatottak megakadályozni, hogy egy weboldal (pl. gonoszoldal.com) hozzáférjen egy másik weboldalon (pl. bankom.hu) lévő adatokhoz.

Azonban itt a rosszindulatú utasítást nem egy külső támadó, hanem maga az AI-asszisztens hajtja végre, amely a felhasználó teljes jogosultságával, annak bejelentkezett munkamenetein belül működik. Mivel a parancs a „felhasználó nevében” érkezik, a böngésző számára teljesen legitimnek tűnik, így megkerüli azokat a korlátokat, amelyek a különböző domainek közötti illetéktelen adatcserét szűrnék ki.

És ez a támadás lehet teljesen láthatatlan a számodra

A Brave kutatói több módszert is bemutattak, amelyekkel a parancsokat el lehet rejteni a felhasználó elől:

  • fehér szöveg elhelyezése fehér háttéren
  • az utasítások elrejtése a weboldal HTML kommentjeiben
  • parancsok elrejtése egy Reddit kommentben használt spoiler jelzés mögé

Meg amúgy is, még ha el sem lenne nagyon rejtve, az agentic böngésző nagy előnyének mindenki azt hozza elő, hogy helyettünk megcsinálja, koncentrálhatunk másra, dolgozhatunk…stb. Tehát amúgysem azt nézzük, hogy éppen mit csinál az agent, elhisszük, hogy azt, amit mi szeretnénk.

Kérdés, hogy tényleg elhisszük? Lehet ebben bízni?

Egy későbbi kutatásukban pedig egy kevésbé autonóm módszert is felfedeztek: a képernyőképekbe rejtett támadást. Ebben az esetben a rosszindulatú parancsot egy képen helyezték el, emberi szemmel láthatatlan formában. Amikor a felhasználó képernyőképet készített az oldalról (tehát nem hagyta vagy kérte meg az agentet, hogy olvassa be a weboldal tartalmát, szimplán maga snapshotolt egy kérdéses részt), hogy az AI-val elemeztesse, a böngésző beépített szövegfelismerője ugyanúgy kiolvasta a rejtett szöveget, és azt parancsként továbbította a nyelvi modellnek.

A következtetés egyértelmű: a felhasználó a legnagyobb körültekintés mellett sem feltétlenül veheti észre a veszélyt, mert a támadás a számára láthatatlanul, a weboldal tartalmába ágyazva van jelen.

Ez nem egyedi hiba

Nem érdemes csak a Perplexityt hibáztatni, vagy elővenni. A Brave második cikkében egyértelműen kijelenti, hogy az indirekt prompt injection egy „rendszerszintű kihívás”, amellyel az AI-alapú böngészők teljes kategóriája szembesül. A Brave kutatói szerint egy egész iparág sétál bele ugyanabba a csapdába. 

Ezt alátámasztja, hogy más böngészőkben is találtak hasonló sebezhetőségeket. A Fellou nevű böngésző esetében például már az is elég volt egy támadás kiváltásához, hogy a felhasználó megkérte az AI-t egy rosszindulatú weboldal meglátogatására. Ebben az esetben még összefoglalást sem kellett kérni, a böngésző automatikusan feldolgozta az oldal tartalmát, és végrehajtotta a benne elrejtett parancsokat.

A probléma gyökere egy alapvető tervezési mulasztásban keresendő: a böngészők következetesen elmulasztják egyértelműen és biztonságosan szétválasztani a felhasználótól érkező megbízható utasításokat a weboldalakról származó, nem megbízható tartalomtól. Ez a fundamentális hiba azt jelenti, hogy az iparág a képességek hajszolása közben egy olyan architektúrát hozott létre, amelynek a sebezhetőség már a tervezőasztalon kódolva van.

A Brave kutatói szerint a helyzet orvoslásához nem elegendőek egyszerű, felületi javítások. Az AI-böngészők biztonsági architektúrájának alapvető újragondolására van szükség.

Tech-ego > a te biztonságod

Az AI-alapú böngészés kétségtelenül óriási potenciált rejt, és valóban forradalmasíthatja az internetezési szokásainkat. A jelenlegi formájában azonban komoly, alapvető biztonsági kockázatokat is hordoz, amelyekre a fejlesztőknek és a felhasználóknak egyaránt fel kell készülniük. Úgy tűnik, a kényelemért egyelőre a biztonsággal fizetünk. (És ez egyáltalán nem idegen a piacvezetésért küzdő tech óriásoktól, legyen ez adatokkal való kereskedés, illegális LLM-tanítás vagy éppen ez, a fejlesztések mielőbbi piacra küldése mindenféle biztonsági keretek nélkül.)

A helyzet egy elgondolkodtató kérdést vet fel, amely Balogh Petya cikkének záró gondolatára reflektál. Miközben az új technológia azt ígéri, hogy leveszi a vállunkról a döntés terhét, a Brave kutatásai megmutatták, hogy ez a kényelem milyen áron érkezhet. 

Az igazi kérdés most az: készen állsz-e arra, hogy az AI döntsön helyetted, még akkor is, ha nem tudod pontosan, milyen rejtett utasításokat követ?

Olvass még a témában!

Forrás:
Brave, Forbes

Fotó:
Envato License

Kertvéllesy András
Kertvéllesy András
Négy ország felsőoktatási intézményeiben, három nyelven tanultam írni és olvasni. Hiszem, hogy a világ megismerésére az egyik legjobb módszer a színháztörténet és az önreflexió. Analitikus típus vagyok: szeretek többet gondolkozni, mint amennyi időbe kerül azt elmondani – remélem, hogy a Minneren, pont emiatt kerültök majd előnybe.
Tovább a főoldalra!
© Minner.hu - 2020