Svi koji se bave bezbjednošću znaju da su zaposleni najslabija karika u organizaciji, ali to više nije slučaj.
Istraživanje kompanije SquareX otkriva da su AI agenti za pretraživače podložniji sajber napadima od zaposlenih, čime postaju nova najslabija karika na koju timovi za korporativnu bezbjednost moraju obratiti pažnju.
AI agenti za pretraživače su softverske aplikacije koje djeluju u ime korisnika kako bi pristupale veb sadržaju i interagirale s njim. Korisnici mogu uputiti ove agente da automatizuju zadatke zasnovane na pretraživaču, poput rezervacije letova, zakazivanja sastanaka, slanja mejlova, pa čak i jednostavnih istraživačkih zadataka. Dobici u produktivnosti koje pružaju AI agenti za pretraživače čine ih izuzetno privlačnim alatom kako za zaposlene, tako i za organizacije. Zapravo, anketa PWC-a pokazala je da je 79% organizacija već usvojilo agente za pretraživače.
Međutim, AI agenti za pretraživače izlažu organizacije ogromnom bezbjednosnom riziku. Ovi agenti su obučeni da obavljaju zadatke za koje su im date upute, s malim ili nikakvim razumijevanjem bezbjednosnih implikacija svojih postupaka. Za razliku od ljudskih zaposlenih, AI agenti za pretraživače nisu podvrgnuti redovnom treningu o bezbjednosnoj svjesnosti. Oni ne mogu prepoznati vizuelne znakove upozorenja, poput sumnjivih URL-ova, pretjeranih zahtjeva za dozvolama ili neuobičajenih dizajna veb lokacija, koji obično upozoravaju zaposlene na zlonamjernu stranicu.
Kao posljedica toga, AI agenti za pretraživače su podložniji napadima zasnovanim na pretraživaču, čak i od običnog zaposlenog. Čak i ako je moguće da korisnici dodaju ove zaštitne mjere, dodatni troškovi potrebni za opsežno pisanje bezbjednosnih rizika za svaki zadatak koji obavlja agent u svakom upitu, vjerovatno bi nadmašili dobitke u produktivnosti. Što je još važnije, zaposleni koji koriste AI agente za pretraživače vjerovatno nemaju dovoljno bezbjednosnog iskustva da bi uopšte mogli napisati takav upit.
SquareX je, koristeći popularni open-source Okvir za korišćenje pretraživača koji koriste hiljade organizacija, demonstrirao kako je AI agent za pretraživač, upućen da pronađe i registruje alat za dijeljenje datoteka, podlegao OAuth napadu. U procesu obavljanja svog zadatka, odobrio je zlonamjernoj aplikaciji potpuni pristup korisničkom mejlu uprkos višestrukim sumnjivim signalima – irelevantne dozvole, nepoznati brendovi, sumnjivi URL-ovi – koji bi vjerovatno zaustavili većinu zaposlenih da odobre te dozvole. U drugim scenarijima, ovi agenti bi mogli izložiti podatke o kreditnoj kartici korisnika na fišing stranicu prilikom pokušaja kupovine namirnica ili otkriti osjetljive podatke prilikom odgovaranja na mejlove od napada impersonacije.
Nažalost, ni pretraživači ni tradicionalni bezbjednosni alati ne mogu razlikovati između radnji koje obavljaju korisnici i ovih agenata. Stoga je ključno da preduzeća koja rade sa AI agentima za pretraživače obezbijede bezbjednosne mjere ugrađene u pretraživač koje će spriječiti agente i zaposlene da podlegnu ovim napadima.
Vivek Ramachandran, osnivač i izvršni direktor kompanije SquareX, upozorava: “Pojavom AI agenata za pretraživače, zaposleni su svrgnuti kao najslabija karika unutar organizacija. Optimistično gledano, ovi agenti imaju bezbjednosnu svjesnost prosječnog zaposlenog, što ih čini ranjivim čak i na najosnovnije napade, a da ne govorimo o najsavremenijim. Ključno je da ovi AI agenti za pretraživače rade u ime korisnika, sa istim nivoom privilegija za pristup korporativnim resursima. Do dana kada pretraživači razviju ugrađene zaštitne mjere za AI agente za pretraživače, preduzeća moraju ugraditi rješenja poput Detekcije i odgovora u pretraživaču kako bi spriječili da ovi agenti budu prevareni da izvršavaju zlonamjerne zadatke. Na kraju, nova generacija alata za upravljanje identitetom i pristupom takođe će morati uzeti u obzir identitete AI agenata za pretraživače kako bi implementirali granularne kontrole pristupa na agentnim radnim procesima.”
Da biste saznali više o ovom bezbjednosnom istraživanju, korisnici mogu posjetiti http://sqrx.com/browser-ai-agents. Istraživački tim kompanije SquareX takođe održava vebinar 11. jula u 10:00 PT/13:00 ET kako bi detaljnije analizirao nalaze istraživanja. Za registraciju, korisnici se mogu kliknuti ovdje.
O kompaniji SquareX
SquareX proširenje za pretraživač pretvara bilo koji pretraživač na bilo kojem uređaju u siguran pretraživač nivoa preduzeća. Prvo rješenje kompanije SquareX za Detekciju i odgovor u pretraživaču (BDR) osnažuje organizacije da proaktivno otkrivaju, ublažavaju i prate klijentske veb napade, uključujući zlonamjerne ekstenzije pretraživača, napredne spear-fišing napade, ransomware zasnovan na pretraživaču, genAI DLP i još mnogo toga. Za razliku od naslijeđenih bezbjednosnih pristupa i nezgrapnih korporativnih pretraživača, SquareX se neprimjetno integrira s postojećim korisničkim pretraživačima, osiguravajući poboljšanu bezbjednost bez ugrožavanja korisničkog iskustva ili produktivnosti. Pružajući neuporedivu vidljivost i kontrolu direktno u pretraživaču, SquareX omogućava bezbjednosnim liderima da smanje svoju površinu napada, steknu operativne uvide i ojačaju svoje korporativne bezbjednosne stavove protiv novog vektora prijetnje – pretraživača. Saznajte više na www.sqrx.com.
Kontakt
Šef PR-a
Junice Liew
SquareX
junice@sqrx.com