Pesquisadores de segurança da Zenity Labs descreveram inúmeras falhas de segurança relacionadas a navegadores com agentes de IA embutidos, capazes de permitir o acesso de hackers de maneira furtiva. Um dos browsers estudados foi o Comet, da Perplexity, cuja vulnerabilidade (já corrigida) deixava atacantes fazerem injeção de prompt através de convites em apps de calendário.
- Qual é a diferença entre usar um navegador de IA e um 'comum'?
- O que é um navegador com IA e o que ele tem de diferente? Entenda
Segundo Stav Cohen, pesquisador sênior de IA na Zenity, os problemas não tornam somente um aplicativo alvo dos atacantes, mas o modelo de execução e barreiras de confiança dos agentes de IA como um todo. Ataques de sequestro de inteligência artificial funcionam porque a maioria dos navegadores não consegue distinguir instruções do usuário de pedidos externos.
Explorando navegadores de IA
No caso estudado pela Zenity, golpistas foram vistos injetando prompts maliciosos através de convites pelo calendário Google. O navegador recebia, por meio dos e-mails de convite, pedidos para acessar arquivos do sistema, abrir e ler arquivos e exfiltrar os dados para um servidor de terceiros.
-
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
-
Não é necessário uso de malwares ou acesso especial: o usuário só precisa aceitar o convite e o navegador realiza as ações como se fosse um pedido legítimo da vítima.
Com a mesma técnica, outra vulnerabilidade permitia que atacantes fizessem o Comet dar acesso ao gerenciador de senhas do navegador. Nesse caso, se o internauta já estivesse logado no serviço, era possível mudar configurações e senhas e extrair segredos sem que o PC ou a vítima notassem.
As vulnerabilidades em questão foram relatadas à Perplexity no ano passado, e a empresa corrigiu as brechas em fevereiro deste ano. Injeções de prompt seguem sendo uma das maiores categorias de ameaça na era da IA: a OpenAI, em dezembro, afirmou que vulnerabilidades do tipo podem ser impossíveis de se solucionar totalmente, já que as permissões altas fazem parte da natureza dos assistentes pessoais.
Qualquer forma de conteúdo escrito pode, potencialmente, dar instruções a modelos de linguagem. A separação entre a intenção do usuário a execução do agente, segundo Cohen, se tornou uma preocupação de segurança crítica.
Confira ainda no Canaltech:
- Extensão falsa no Chrome usa Gemini para roubar arquivos do seu PC
- Chamadas falsas no Zoom e Meets instalam app de monitoramento fake no Windows
- Vírus de R$ 160 trava o WhatsApp de vítimas e rouba dados pessoais
Leia a matéria no Canaltech.