ИИ-агенты зашли не в ту дверь. История о том, как Perplexity случайно создала идеального шпиона
NewsMakerОказалось, что привычные способы защиты совершенно бесполезны против такой хитрой уловки.
Специалисты показали, как агентный браузер Comet от компании Perplexity позволял получить доступ к локальным файлам пользователя и незаметно передать содержимое на внешний сервер. Атака не требовала кликов или дополнительных действий со стороны жертвы — достаточно было обычного приглашения на встречу в календаре.
Команда Zenity Labs описала сценарий , получивший название PerplexedComet. Исследование показало, что автономные браузеры со встроенным ИИ способны выполнять действия от имени пользователя и интерпретировать задачи, объединяя запрос пользователя с содержимым веб-страниц. В таком режиме внешние данные фактически становятся инструкциями для системы. При определённых условиях подобная логика позволила злоумышленнику заставить браузер выполнять действия, которые пользователь не планировал.
В демонстрации атаки использовали приглашение на встречу в календаре. С виду приглашение выглядело обычным — заголовок, описание встречи и участники. Однако внутри описания скрыли дополнительные инструкции. Когда пользователь просил Comet принять приглашение, браузер анализировал содержимое события и выполнял дальнейшие шаги автоматически.
Через так называемую косвенную инъекцию подсказок злоумышленник направлял действия агента. Браузер переходил на внешний сайт, где размещались дополнительные инструкции. Далее Comet открывал локальную файловую систему через путь file://, просматривал каталоги, находил указанный файл и считывал содержимое.
Специалисты показали, как агентный браузер Comet от компании Perplexity позволял получить доступ к локальным файлам пользователя и незаметно передать содержимое на внешний сервер. Атака не требовала кликов или дополнительных действий со стороны жертвы — достаточно было обычного приглашения на встречу в календаре.
Команда Zenity Labs описала сценарий , получивший название PerplexedComet. Исследование показало, что автономные браузеры со встроенным ИИ способны выполнять действия от имени пользователя и интерпретировать задачи, объединяя запрос пользователя с содержимым веб-страниц. В таком режиме внешние данные фактически становятся инструкциями для системы. При определённых условиях подобная логика позволила злоумышленнику заставить браузер выполнять действия, которые пользователь не планировал.
В демонстрации атаки использовали приглашение на встречу в календаре. С виду приглашение выглядело обычным — заголовок, описание встречи и участники. Однако внутри описания скрыли дополнительные инструкции. Когда пользователь просил Comet принять приглашение, браузер анализировал содержимое события и выполнял дальнейшие шаги автоматически.
Через так называемую косвенную инъекцию подсказок злоумышленник направлял действия агента. Браузер переходил на внешний сайт, где размещались дополнительные инструкции. Далее Comet открывал локальную файловую систему через путь file://, просматривал каталоги, находил указанный файл и считывал содержимое.