Загрузил документ — лишился «учётки». ИИ-помощник для юристов подставил под удар 200 тысяч компаний
NewsMakerИзбыточная исполнительность алгоритмов привела к неожиданным последствиям.
В работе юридического помощника на базе искусственного интеллекта Vincent, разработанного компанией vLex, была обнаружена уязвимость, позволяющая злоумышленникам проводить фишинговые атаки через внедрение скрытого HTML-кода. Сервис используется более чем 200 тысячами юридических организаций по всему миру, включая ведущие международные юридические фирмы, что делает выявленную брешь потенциально опасной для широкого круга пользователей.
Как показало исследование команды PromptArmor, киберпреступники могут внедрять вредоносный код в текст документов, оформляя его в виде невидимого белого текста. Такие файлы, загружаемые в систему сотрудниками юридических команд в ходе подготовки к делам, активируют скрытые команды, когда Vincent AI начинает анализировать содержимое и цитировать обнаруженные фрагменты. В результате в окне браузера запускается фальшивое всплывающее окно, имитирующее интерфейс входа в систему vLex, предназначенное для кражи учётных данных пользователя.
Этот механизм получил название «экранной подмены» и заключается в наложении поддельного интерфейса на реальное содержимое страницы. Пользователь, не подозревая об атаке, вводит свои логин и пароль, тем самым передавая их злоумышленникам.
В работе юридического помощника на базе искусственного интеллекта Vincent, разработанного компанией vLex, была обнаружена уязвимость, позволяющая злоумышленникам проводить фишинговые атаки через внедрение скрытого HTML-кода. Сервис используется более чем 200 тысячами юридических организаций по всему миру, включая ведущие международные юридические фирмы, что делает выявленную брешь потенциально опасной для широкого круга пользователей.
Как показало исследование команды PromptArmor, киберпреступники могут внедрять вредоносный код в текст документов, оформляя его в виде невидимого белого текста. Такие файлы, загружаемые в систему сотрудниками юридических команд в ходе подготовки к делам, активируют скрытые команды, когда Vincent AI начинает анализировать содержимое и цитировать обнаруженные фрагменты. В результате в окне браузера запускается фальшивое всплывающее окно, имитирующее интерфейс входа в систему vLex, предназначенное для кражи учётных данных пользователя.
Этот механизм получил название «экранной подмены» и заключается в наложении поддельного интерфейса на реальное содержимое страницы. Пользователь, не подозревая об атаке, вводит свои логин и пароль, тем самым передавая их злоумышленникам.
