Straiker STAR Labs’ın bulgularına göre, Perplexity’nin Comet tarayıcısını hedef alan ve görünüşte zararsız bir e-postayı, kullanıcının tüm Google Drive içeriğini silen yıkıcı bir eyleme dönüştürebilen yeni bir aracılı tarayıcı saldırısı.
Sıfır tıklamalı Google Drive Silecek tekniği, tarayıcıyı Gmail ve Google Drive gibi hizmetlere bağlamanın yanı sıra, e-postaları okuma, dosya ve klasörlere göz atma ve içeriği taşıma, yeniden adlandırma veya silme gibi eylemleri gerçekleştirme erişimi sağlayarak rutin görevleri otomatikleştirmeye dayanır.
Örneğin, iyi huylu bir kullanıcı tarafından gönderilen bir istem şu şekilde görünebilir: “Lütfen e-postamı kontrol edin ve tüm son organizasyon görevlerimi tamamlayın.” Bu, tarayıcı aracısının gelen kutusunda ilgili mesajları aramasına ve gerekli eylemleri gerçekleştirmesine neden olacaktır.
Güvenlik araştırmacısı Amanda Rousseau, The Hacker News ile paylaşılan bir raporda, “Bu davranış, LLM’nin kullanıcının açık isteğinin çok ötesinde eylemler gerçekleştirdiği LLM destekli asistanlardaki aşırı etkinliği yansıtıyor.” dedi.
Saldırgan, normal bir temizleme görevinin parçası olarak alıcının Drive’ını düzenlemek, belirli uzantılarla eşleşen dosyaları veya herhangi bir klasörde bulunmayan dosyaları silmek ve değişiklikleri incelemek için doğal dil talimatlarını içeren özel hazırlanmış bir e-posta göndermek üzere tarayıcı aracısının bu davranışını silah olarak kullanabilir.
Aracının e-posta mesajını rutin bakım olarak yorumladığı göz önüne alındığında, talimatları yasal olarak ele alır ve gerçek kullanıcı dosyalarını herhangi bir kullanıcı onayına gerek kalmadan Google Drive’dan siler.
Rousseau, “Sonuç: kullanıcıdan gelen doğal dildeki bir istekle tetiklenen, kritik içeriği uygun ölçekte çöp kutusuna taşıyan, tarayıcı aracısı odaklı bir silici” dedi. “Bir aracının Gmail ve Google Drive’a OAuth erişimi olduğunda, kötüye kullanılan talimatlar paylaşılan klasörler ve ekip Drive’ları arasında hızla yayılabilir.”
Bu saldırıda dikkate değer olan şey, ne jailbreak’e ne de hızlı enjeksiyona dayanmaması. Daha ziyade, amacına sadece kibar davranarak, sıralı talimatlar vererek ve mülkiyeti temsilciye devreden “kendine bak”, “bunu hallet” ve “bunu benim adıma yap” gibi ifadeler kullanarak ulaşır.
Başka bir deyişle, saldırı, sıralama ve tonlamanın, bu adımların her birinin gerçekten güvenli olup olmadığını kontrol etme zahmetine bile girmeden, büyük dil modelini (LLM) kötü niyetli talimatlara uymaya nasıl itebileceğini vurguluyor.
Tehdidin oluşturduğu risklere karşı koymak için yalnızca modeli değil aynı zamanda aracıyı, bağlayıcılarını ve takip ettiği doğal dil talimatlarını da güvence altına alacak adımların atılması önerilir.
Rousseau, “Ajan tarayıcı asistanları, günlük istemleri Gmail ve Google Drive’da güçlü eylem dizilerine dönüştürüyor” dedi. “Bu eylemler güvenilmeyen içerik (özellikle kibar, iyi yapılandırılmış e-postalar) tarafından yönlendirildiğinde, kuruluşlar yeni bir sıfır tıklama veri silme riski sınıfını devralır.”
HashJack, Dolaylı İstem Ekleme için URL Parçalarından Yararlanıyor
Açıklama, Cato Networks’ün meşru URL’lerde (ör. “www.example) “#” simgesinden sonra hileli istemleri gizleyen yapay zeka (AI) destekli tarayıcılara yönelik başka bir saldırıyı göstermesiyle geldi.[.]com/home#
İstemci tarafı saldırısını tetiklemek için, bir tehdit aktörü böyle özel hazırlanmış bir URL’yi e-posta, sosyal medya aracılığıyla veya doğrudan bir web sayfasına yerleştirerek paylaşabilir. Kurban sayfayı yükleyip AI tarayıcısına ilgili soruyu sorduğunda, tarayıcı gizli istemi çalıştırıyor.
Güvenlik araştırmacısı Vitaly Simonovich, “HashJack, herhangi bir meşru web sitesini AI tarayıcı asistanlarını manipüle etmek için silah haline getirebilen bilinen ilk dolaylı istem enjeksiyonudur” dedi. “Kötü amaçlı parça gerçek bir web sitesinin URL’sine gömülü olduğundan, kullanıcılar içeriğin güvenli olduğunu varsayarken, gizli talimatlar AI tarayıcı yardımcısını gizlice manipüle ediyor.”
Sorumlu bir açıklamanın ardından Google, durumu “düzeltilemez (amaçlanan davranış)” ve düşük önem düzeyi olarak sınıflandırırken Perplexity ve Microsoft, ilgili AI tarayıcıları (Comet v142.0.7444.60 ve Edge 142.0.3595.94) için yamalar yayınladı. Chrome için Claude ve OpenAI Atlas’ın HashJack’e karşı bağışık olduğu tespit edildi.
Google’ın, politikaları ihlal eden içerik oluşturmayı ve korkuluk atlamalarını Yapay Zeka Güvenlik Açığı Ödül Programı (AI VRP) kapsamında güvenlik açıkları olarak değerlendirmediğini belirtmekte fayda var.