חברה ישראלית מצאה פרצת אבטחה חמורה בדפדפן Comet של Perplexity
פרצה בדפדפן ה-AI הפופולרי אפשרה לתוקפים להוציא מידע אישי ורגיש באמצעות URL בודד. "כל הדפדפנים מתחילים לשלב AI, זה יהפוך לרלוונטי לכולם"
תמונה: Dreamstime
יצא לכם כבר לנסות דפדפני AI? אלו שמנסים לקרוא תיגר על הדפדפנים (בתכלס על Google Chrome כן?) ולהפוך להיות הדבר הגדול הבא בתחום הבינה המלאכותית? אם לא, אולי תשמחו לגלות שבשבוע שעבר פרפלקסיטי הפכה את דפדפן ה-AI שלה, Comet, לזמין לכולם. מה שכנראה לא תשמחו לגלות הוא שחברה ישראלית מצאה בו פרצת אבטחה חמורה, שמאפשרת לתוקף להוציא את כל המידע האישי והרגיש שלכם באמצעות URL אחד בודד.
LayerX, העוסקת בהגנה על מידע ארגוני בדפדפנים, גילתה את הפרצה בחודש אוגוסט ופנתה עם המידע ל-Perplexity. מה קרה אז? עוד נגיע לשם. הפרצה, שקיבלה את השם CometJacking פועלת בצורה די פשוטה – הקורבן רואה קישור לא מזיק לכאורה, לוחץ בתמימות וברגע אחד הדפדפן שלו מתחיל לעבוד נגדו ולשלוח את כל המידע שלו ישירות לתוקף.
"הדפדפן כיום הוא הכלי העיקרי באמצעותו משתמשים צורכים טכנולוגיות AI, למשל אתרים כמו ChatGPT ומערכות SaaS שכוללות יכולות AI כמו Canva", מספרים בחברה בשיחה עם ITtime, "בחודשים האחרונים אנחנו רואים מגמה של שימוש גובר בדפדפני AI כמו Comet, DIA ואחרים, שהם כבר לא רק כלי שבאמצעותו ניגשים לכלי AI אחרים, אלא הם ממש משלבים את ה-AI Agent בתוך תהליך הגלישה עצמו. עבור משתמשים, זה יוצר גם הזדמנויות לאמץ טכנולוגיות חדשות, אבל גם סכנות של חשיפה אם ה-AI פועל על דעת עצמו וניגש למידע רגיש".
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
הדפדפן המוכר ביותר – אבל גם המסוכן ביותר?
הסיבה שבחברה ניגשו לבדוק דווקא את comet היא שהוא פשוט דפדפן ה-AI המוכר והפופולרי ביותר, אבל הוא גם זה שהלך הכי רחוק עם הטמעת ה-AI בתוכו. לכן, מדגישים בחברה, להתמקד בו היא דרך להסתכל על המגמה המתעצמת ועל התפתחות הקטגוריה של דפדפני AI.
ובחזרה לפרצה: מדובר בפרצת "Zero-click indirect prompt injection" – מתקפה שמאפשרת להזריק פקודות למנוע ה-AI דרך כתובת האתר עצמה (ולא דרך תוכן הדף), ולגרום לו לפעול בשם התוקף. ב-LayerX מדגישים שהפגיעות הזו ייחודית לדפדפני AI. "בדפדפנים רגילים תוקפים מנסים לנצל חולשות בקוד הדפדפן עצמו", הם מסבירים, "אבל בדפדפני AI כמו Comet, מנוע הבינה המלאכותית הוא החלק החשוף. מה שאומר שאם תוקף מצליח להעביר הוראות למנוע ה-AI, הוא יכול לגרום לדפדפן לעבוד בשבילו באופן שלא קיים בדפדפנים רגילים".
המנגנון הפשוט של המתקפה הופך אותה לבעייתית במיוחד. המשתמש לוחץ על קישור שמכיל פרמטרים חבויים עם הוראות ל-AI. הדפדפן מפרש את השאילתה כבקשה לגיטימית, שולף מידע רגיש, מקודד אותו (למשל ב-Base64) ושולח אותו לשרת מרוחק.
המתקפה מצליחה לחמוק ממנגוני האבטחה של Preplexity, שבעיקר ניסו למנוע גניבה של מידע רגיש על ידי הפרדה בין תוכן עמוד (Page Data) לזיכרון אישי (User Memory). אבל מכיוון שההגנות לא חלות על מידע שמקודד מראש, הדאטה יכול לצאת מהדפדפן לשרת החיצוני מבלי להדליק נורות אדומות. בבדיקות של LayerX, המתקפות הצליחו לעקוף את ההגנות בדיוק כך ולהעביר מידע רגיש מקומי אל שרת מרוחק מבלי להפעיל את מנגנוני האבטחה.
במהלך המחקר הצליחו החוקרים להטמין הוראות למנוע ה-AI של קומט בתוך שורת ה-URL, כך שלחיצה אחת על הלינק הלא נכון הייתה מעבירה ישירות אליהם מידע רגיש, למשל מיילים, קבצים או פרטים מתוך צ'אטים של AI, הכל לפי ההוראות שהתוקף מחליט. משום שלאט לאט כל הדפדפנים הופכים לסוג של דפדפני AI, מתווה ההתקפה שנחשף צפוי להפוך לרלוונטי עבור כולם בשלב כזה או אחר.
"מה שמעניין במתקפה זו העובדה שאפשר במאמץ סביר לייצר Browser Exploit דרך מנוע ה-AI", מסבירים חוקרי החברה, "כלומר, prompt injections רותמים את מנוע ה-AI לטובת התוקף, וככל שהמנוע מחובר ליותר דברים בדפדפן כך הנזק הולך וגדל. מהבחינה הזו זה מאוד שונה מהתקפות מסורתיות".
בחברה אף הצליחו להוכיח היתכנות של המתקפה, כאשר קישור ייעודי גרם ל-Comet לשלוח מיילים לשרת של החוקרים, קישור אחר הצליח לשלוף הזמנות ופגישות מיומנים ואפילו להשתלט על סוכן AI שיכול לשלוח מיילים, לחפש קבצים בדרייב הארגונים ולסייר במערכת.
אז איך מתגוננים?
אז אם אנחנו יודעים שבכל מקרה דפדפני ה-AI יהפכו להיות נחלת הכלל בשנים הקרובות, כדאי להיערך מראש. ב-LayerX ממליצים לארגונים להתחיל להפנים שהאחריות לשימוש אחראי בדפדפנים האלו נמצאת בידיים של מנהלי אבטחת המוצר ולכן כדאי כבר מעכשיו לצייד את דפדפני ה-AI בכלי הגנה ובקרה: "בשלב הזה זו טכנולוגיה חדשה, אבל בטווח הבינוני והרחוק זה יהפוך להיות הממשק העיקרי דרכו משתמשים צורכים טכנולוגיות AI. ברמה המיידית, אנחנו ממליצים למשתמשים ארגוניים למפות את כל הדפדפנים שאצלם בארגון, מי (אם בכלל) משתמש בזה, ואל איזה מידע הם נחשפים".
"בשלב השני", הם מוסיפים, "צריך לבצע הערכת סיכונים ולהחליט אם הארגון מאפשר את השימוש. לבסוף, אנחנו ממליצים על פריסה של מנגנוני הגנה מבוססי דפדפן כדי להגן מפני זליגה של מידע ארגוני, באמצעות דפדפנים רגילים או דפדפני AI".
תגובת Perplexity ופניית הפרסה
זוכרים ש-LayerX פנתה לפרפלקסיטי כבר בחודש אוגוסט עם הממצאים? לטענתם הפרצה לא תוקנה באופן מיידי מכיוון ש"לא זוהתה השפעה אבטחתית". המחקר של החברה פורסם לאחרונה במגזין TIME וזמן קצר לאחר הפרסום Perplexity שלחה אליו תגובה לפיה: "החברה זיהתה את הבעיה באופן עצמאי בשלב מאוחר יותר ותיקנה אותה".
ב-LayerX לא הופתעו מהסיבוב הזה: "השילוב של דפדפנים ו-AI משלב שתי טכנולוגיות מאוד מורכבות, גם דפדפנים וגם בינה מלאכותית והוא חדש גם עבור חברות ה-AI עצמן. לכן, זה לא מפתיע שעדיין אין להן את התהליכים והניסיון להתמודד עם נושאים של אבטחת מידע שמשלבים את שני העולמות האלה. אנחנו סיפקנו להם את כל המידע בנוגע לחולשה הזאת, אך כנראה שבמקור הם לא לחלוטין הבינו את ההשלכות של מה שדיווחנו להם".
עם זאת, הם כמובן שמחים שבסופו של דבר הפרצה תוקנה. "כשאנחנו דיווחנו החולשה הייתה זמינה לחלוטין אז הטענה שלהם חלשה מבחינה טכנית, כי הרי או שמנגנון הדיווח שלהם אינו רציני או שהם מנסים 'לצאת טוב' מהסיטואציה. מכל מקום, מבחינתנו זו זכות לעודד את התעשייה לכיוון מאובטח יותר. אנחנו דווקא רואים פה התפתחות בכיוון הנכון – פרפלקסיטי מפנימה ש'עם כוח גדול באה אחריות גדולה' ומבינה שהשוק מצפה לסטנדרטים יותר גבוהים", סיכמו ב-LayerX.
אז למרות הכל הפרצה תוקנה ונראה שהכל בא על מקומו בשלום. אבל בעולמות ה-AI והסייבר אין דקה אחת של שקט ונראה כי דפדפני ה-AI הופכים מזירה של הזדמנויות פז למשתמשים, לזירה של מכרות זהב לתוקפים.
