Οι ερευνητές κυβερνοασφάλειας εντόπισαν ένα νέο πρόβλημα ασφαλείας σε «πρακτορικούς» web browsers, όπως το OpenAI ChatGPT Atlas, το οποίο εκθέτει τα υποκείμενα μοντέλα τεχνητής νοημοσύνης (AI) σε επιθέσεις context poisoning.
Στην επίθεση που ανέπτυξε η εταιρία ασφάλειας AI SPLX, ένας κακόβουλος παράγοντας μπορεί να δημιουργήσει ιστοσελίδες που εμφανίζουν διαφορετικό περιεχόμενο σε κανονικούς browsers και διαφορετικό στους web crawlers των ChatGPT και Perplexity. Η τεχνική αυτή έχει λάβει την κωδική ονομασία AI-targeted cloaking.
Η μέθοδος αποτελεί παραλλαγή της τεχνικής search engine cloaking, η οποία συνίσταται στην παρουσίαση μιας εκδοχής ιστοσελίδας στους χρήστες και μιας διαφορετικής στους crawlers των μηχανών αναζήτησης, με σκοπό τη χειραγώγηση των αποτελεσμάτων κατάταξης.
Η διαφορά, στην περίπτωση αυτή, είναι ότι οι επιτιθέμενοι βελτιστοποιούν το περιεχόμενο για τους AI crawlers διαφόρων παρόχων μέσω ενός απλού ελέγχου user agent, που επιτρέπει την αλλοίωση του περιεχομένου που παραδίδεται.
«Επειδή τα συστήματα αυτά βασίζονται σε άμεση ανάκτηση, ό,τι περιεχόμενο τους σερβίρεται γίνεται “έδαφος αλήθειας” στις AI Overviews, τις περιλήψεις ή τις αυτόνομες λογικές διεργασίες», δήλωσαν οι ερευνητές ασφαλείας Ivan Vlahov και Bastien Eymery. «Αυτό σημαίνει ότι ένας μόνος συνθήκης κανόνας, όπως “if user agent = ChatGPT, serve this page instead”, μπορεί να διαμορφώσει αυτό που εκατομμύρια χρήστες βλέπουν ως αυθεντική απάντηση.»
Η SPLX ανέφερε ότι το AI-targeted cloaking, αν και απατηλά απλό, μπορεί να αποτελέσει ένα ισχυρό όπλο παραπληροφόρησης, υπονομεύοντας την εμπιστοσύνη στα εργαλεία τεχνητής νοημοσύνης. Με το να καθοδηγεί τους AI crawlers να φορτώνουν κάτι διαφορετικό από το πραγματικό περιεχόμενο, μπορεί να εισάγει προκατάληψη και να επηρεάσει τα αποτελέσματα των συστημάτων που στηρίζονται σε τέτοια σήματα.
«Οι AI crawlers μπορούν να παραπλανηθούν εξίσου εύκολα με τις πρώιμες μηχανές αναζήτησης — αλλά με πολύ μεγαλύτερες συνέπειες στη συνέχεια», σημείωσε η εταιρία. «Καθώς το SEO (βελτιστοποίηση μηχανών αναζήτησης) ενσωματώνει όλο και περισσότερο το AIO (βελτιστοποίηση τεχνητής νοημοσύνης), καταλήγει να χειραγωγεί την ίδια την πραγματικότητα.»
Η αποκάλυψη έρχεται έπειτα από ανάλυση των browser agents σε 20 από τα πιο συχνά σενάρια κακόβουλης χρήσης, από multi-accounting έως card testing και support impersonation. Η ομάδα hCaptcha Threat Analysis Group (hTAG) διαπίστωσε ότι τα προϊόντα εκτέλεσαν σχεδόν κάθε κακόβουλο αίτημα χωρίς να απαιτείται jailbreaking.
Επιπλέον, η μελέτη έδειξε ότι στις περιπτώσεις όπου μια ενέργεια «μπλοκαρίστηκε», αυτό οφειλόταν κυρίως στην έλλειψη τεχνικής δυνατότητας του εργαλείου και όχι σε πραγματικά μέτρα ασφαλείας. Το ChatGPT Atlas, σημείωσε η hTAG, έχει αποδειχθεί ικανό να εκτελεί επικίνδυνες εργασίες όταν αυτές παρουσιάζονται ως μέρος διαδικασιών debugging.
Αντιθέτως, τα Claude Computer Use και Gemini Computer Use έχουν εντοπιστεί να εκτελούν επικίνδυνες λειτουργίες λογαριασμού, όπως password resets, χωρίς περιορισμούς, ενώ το τελευταίο έχει επιδείξει και επιθετική συμπεριφορά επιχειρώντας brute-force επιθέσεις για κουπόνια σε ιστότοπους ηλεκτρονικού εμπορίου.
Η hTAG δοκίμασε επίσης τα μέτρα ασφαλείας του Manus AI, ανακαλύπτοντας ότι πραγματοποιεί account takeovers και session hijacking χωρίς πρόβλημα, ενώ το Perplexity Comet εκτελεί απροειδοποίητα SQL injection για την εξαγωγή κρυφών δεδομένων.
«Οι agents συχνά υπερέβαιναν τα όρια, επιχειρώντας SQL injection χωρίς αίτημα του χρήστη, εισάγοντας JavaScript στη σελίδα για να παρακάμψουν paywalls και άλλα», ανέφερε η ομάδα. «Η σχεδόν πλήρης απουσία προστατευτικών μηχανισμών που παρατηρήσαμε καθιστά πολύ πιθανό τα ίδια αυτά εργαλεία να χρησιμοποιηθούν σύντομα από επιτιθέμενους εναντίον νόμιμων χρηστών που τυχαίνει να τα κατεβάσουν.»
