Courageux divulgué vulnérabilités de sécurité dans les navigateurs IA qui pourraient permettre à des sites Web malveillants de détourner les assistants IA et d’accéder à des comptes d’utilisateurs sensibles.
Le problèmes affecter Perplexity Comet, Fellou et potentiellement d’autres navigateurs IA capables d’agir au nom des utilisateurs.
Les vulnérabilités proviennent d’attaques indirectes par injection d’invites dans lesquelles des sites Web intègrent des instructions cachées que les navigateurs IA traitent comme des commandes utilisateur légitimes. Brave a publié les résultats après avoir signalé les problèmes aux entreprises concernées.
Ce que Brave a trouvé
Vulnérabilité de la comète Perplexity
La fonctionnalité de capture d’écran de Comet peut être exploitée en incorporant du texte presque invisible dans les pages Web.
Lorsque les utilisateurs prennent des captures d’écran pour poser des questions, l’IA extrait le texte caché à l’aide de ce qui semble être de l’OCR et le traite comme des commandes plutôt que comme du contenu non fiable.
Notes courageuses Comet n’est pas open source, ce comportement est donc déduit et ne peut pas être vérifié à partir du code source.
Les instructions cachées utilisent des couleurs pâles que les humains peuvent à peine voir, mais que les systèmes d’IA extraient et exécutent. Cela permet aux attaquants d’émettre des commandes à l’assistant IA à l’insu de l’utilisateur.
Vulnérabilité de navigation Fellou
Le navigateur Fellou envoie le contenu d’une page Web à son système d’IA lorsque les utilisateurs naviguent vers un site.
En demandant à l’assistant IA de visiter une page Web, le navigateur transmet le contenu visible de la page à l’IA de manière à permettre au texte de la page Web de remplacer l’intention de l’utilisateur.
Cela signifie que la visite d’un site malveillant pourrait déclencher des actions involontaires d’IA sans nécessiter une interaction explicite de l’utilisateur avec l’assistant IA.
Accès aux comptes sensibles
Les vulnérabilités deviennent dangereuses car les assistants IA fonctionnent avec des privilèges d’authentification utilisateur.
Un navigateur IA piraté peut accéder aux sites bancaires, aux fournisseurs de messagerie, aux systèmes de travail et au stockage cloud où les utilisateurs restent connectés.
Brave note que même le fait de résumer une publication sur Reddit pourrait amener des attaquants à voler de l’argent ou des données privées si la publication contient des instructions malveillantes cachées.
Contexte de l’industrie
Brave décrit l’injection indirecte d’invite comme un défi systémique auquel sont confrontés les navigateurs IA plutôt que comme un problème isolé.
Le problème tourne autour du fait que les systèmes d’IA ne parviennent pas à faire la distinction entre les entrées utilisateur fiables et le contenu de pages Web non fiables lors de la création d’invites.
Brave retient les détails d’une vulnérabilité supplémentaire trouvée dans un autre navigateur jusqu’à la semaine prochaine.
Pourquoi c’est important
Brave affirme que les modèles traditionnels de sécurité Web s’effondrent lorsque les agents IA agissent au nom des utilisateurs.
Les instructions en langage naturel sur n’importe quelle page Web peuvent déclencher des actions inter-domaines atteignant les banques, les prestataires de soins de santé, les systèmes d’entreprise et les hébergeurs de messagerie.
Les protections des politiques de même origine ne sont plus pertinentes car les assistants IA s’exécutent avec tous les privilèges utilisateur sur tous les sites authentifiés.
La divulgation arrive le jour même où OpenAI a lancé ChatGPT Atlas avec des capacités en mode agent, soulignant la tension entre la fonctionnalité du navigateur AI et la sécurité.
Les personnes utilisant des navigateurs IA dotés de fonctionnalités d’agent sont confrontées à un compromis entre les capacités d’automatisation et l’exposition à ces vulnérabilités systémiques.
Regarder vers l’avenir
Les recherches de Brave se poursuivent et des résultats supplémentaires devraient être divulgués la semaine prochaine.
La société a indiqué qu’elle étudiait des solutions à plus long terme pour résoudre les problèmes de limites de confiance dans la navigation agent.
Image en vedette : Qui est Danny/Shutterstock
Commentaires