Kritična ranjivost koja utiče na popularne AI alate, uključujući ChatGPT, Google Gemini i druge generativne AI platforme, izlaže ih novom vektoru napada nazvanom “Čovjek u upitu”.
Istraživanje otkriva da maliciozna proširenja preglednika mogu iskoristiti Model objekta dokumenta (DOM) za ubacivanje upita, krađu osjetljivih podataka i manipulisanje odgovorima vještačke inteligencije bez potrebe za posebnim dozvolama.
Ranjivost utiče na milijarde korisnika na svim glavnim platformama, pri čemu su posebno ugroženi 5 milijardi mjesečnih posjeta ChatGPT-a i 400 miliona korisnika Geminija.
Eksploatacija ekstenzija preglednika cilja AI upit
Ranjivost proizlazi iz načina na koji se generativni AI alati integrišu s web pretraživačima putem DOM manipulacije.
Kada korisnici komuniciraju s asistentima zasnovanim na LLM-u, polja za unos podataka postaju dostupna bilo kojem proširenju pretraživačima s osnovnim mogućnostima skriptovanja.
Ova arhitektonska slabost omogućava hakerima da izvode napade promptne injekcije mijenjajući korisničke unose ili ubacujući skrivene instrukcije direktno u AI interfejs.
Eksploatacija efektivno stvara scenario “čovjek u upitu” u kojem napadači mogu čitati i pisati u upite vještačke inteligencije bez otkrivanja.
Istraživači LayerX-a su pokazali da ekstenzije koje ne zahtijevaju nikakve posebne dozvole mogu pristupiti komercijalnim LLM-ovima, uključujući ChatGPT, Gemini, Copilot, Claude i Deepseek.
Vektor napada je posebno zabrinjavajući jer 99% korisnika u preduzećima ima instalirano barem jedno proširenje za preglednik, dok 53% održava više od 10 proširenja.
Postojećim sigurnosnim alatima poput CASB-ova, SWG-ova i DLP rješenja nedostaje uvid u interakcije na nivou DOM-a, što ih čini neefikasnim protiv ove metode napada.
Dva značajna napada radi dokazivanja koncepta ističu ozbiljnost ove ranjivosti. Prva demonstracija je ciljala ChatGPT koristeći kompromitovanu ekstenziju koja radi putem komandno-kontrolnog servera.
Maliciozna ekstenzija otvara pozadinske kartice, šalje upite ChatGPT-u s ubrizganim upitima , izvlači rezultate u vanjske logove i briše historiju chata kako bi prikrila tragove.
Ovaj sofisticirani lanac napada funkcioniše isključivo unutar granica korisnikove sesije, što njegovo otkrivanje čini izuzetno teškim.
Drugi dokaz koncepta iskoristio je integraciju Google Geminija s Workspaceom, koja omogućava pristup e-porukama, dokumentima, kontaktima i dijeljenim mapama.
Ranjivost omogućava ekstenzijama da ubacuju upite čak i kada je bočna traka Geminija zatvorena, što napadačima omogućava da u velikom obimu izdvoje povjerljive korporativne podatke.
LayerX je odgovorno otkrio ovu ranjivost Google-u, iako kompanija prethodno nije obraćala pažnju na rizike proširenja pretraživača za upite Gemini Workspacea.
Strategije ublažavanja
Interni LLM-ovi se suočavaju s posebno ozbiljnom izloženošću zbog pristupa vlasničkim organizacijskim podacima, uključujući intelektualno vlasništvo, pravne dokumente, finansijske prognoze i regulirane evidencije.
Za razliku od javnih modela, internim kopilotima često nedostaju ojačane sigurnosne mjere protiv neželjenog unosa, pretpostavljajući pouzdanu upotrebu unutar korporativnih mreža.
Ova lažna pretpostavka o sigurnosti stvara značajne rizike za curenje IP podataka, kršenje propisa prema GDPR-u i HIPAA- i, te eroziju organizacijskog povjerenja u alate umjetne inteligencije.
Organizacije moraju preći s kontrola na nivou aplikacije na inspekciju ponašanja preglednika radi efikasnog ublažavanja.
Ključne strategije uključuju praćenje DOM interakcija unutar AI alata, implementaciju procjene rizika ponašanja za ekstenzije izvan statičke analize dozvola i sprječavanje brzog mijenjanja putem zaštite na nivou pretraživača u stvarnom vremenu.
Tradicionalno blokiranje na osnovu URL-ova ne pruža zaštitu za interne alate hostovane na domenama sa bijele liste, što naglašava potrebu za sveobuhvatnim sandboxom za proširenja pretraživača i mogućnostima dinamičke procjene rizika.
Izvor: CyberSecurityNews
