Cato Networks’teki güvenlik araştırmacıları, popüler AI tarayıcılarını ve asistanlarını kimlik avı bağlantıları veya dezenformasyon (örneğin, yanlış ilaç dozajı kılavuzu veya yatırım tavsiyesi) sunmaya, saldırgana hassas veriler göndermeye veya kullanıcıları riskli eylemler gerçekleştirmeye itmeye zorlayabilen yeni bir dolaylı istem enjeksiyon tekniğini ortaya çıkardı.
Tekniğe HashJack adını veriyorlar çünkü meşru (ve diğer açılardan zararsız) bir web sitesine işaret eden bir URL’nin #fragmentinde gizlenen kötü niyetli talimatlara dayanıyor.
“HashJacked” URL örneği (Kaynak: Cato Networks)
Böyle özel olarak hazırlanmış bir URL/bağlantı, e-posta, sosyal medya aracılığıyla paylaşılabilir veya bir web sayfasına yerleştirilebilir.
Kurban sayfayı yükledikten ve AI tarayıcısına veya AI tarayıcı asistanına bir soru sorduğunda – herhangi bir soru! – “parça talimatlarını yanıtına dahil eder (örneğin, tıklanabilir bir bağlantı ekler, ‘yararlı’ adımlar atar veya aracılı modlarda arka plan isteklerini gerçekleştirir).”
Bazı kullanıcılar bağlantıyı tıklamadan önce kontrol edecek kadar dikkatli olsa da, kötü niyetli talimatlar şüphe uyandırmamak için gizlenebilir.
Etki, AI tarayıcılara ve asistanlara göre değişiklik gösterir
Tehdit araştırmacıları, saldırı tekniğini Perplexity’nin Comet ve OpenAI’nin Atlas AI tarayıcılarının yanı sıra şu yapay zeka yardımcılarında da denedi: Edge için Microsoft’un Copilot’u ve Chrome için Google’ın Gemini’si ve Chrome için Claude.
URL’lerin #fragmentinde altı farklı türde bilgi istemi oluşturdular ve bunları bu çözümlere karşı denediler.
HashJack, Chrome ve Atlas için Claude üzerinde çalışmadı, ancak (çoğunlukla) kalan üçünde işe yaradı:
Cato Networks araştırmacıları tarafından test edilen senaryolar (*Edge, gezinmeden önce bir onay iletişim kutusu gösterir; araştırmacılara göre Chrome, bağlantıları sıklıkla yeniden yazar; bu da etkiyi azaltır ancak ortadan kaldırmaz.)
Kıdemli güvenlik araştırmacısı Vitaly Simonovich, bu tarayıcıların ve asistanların sayfa durumuna ilişkin ayrıcalıklı bir bakış açısına sahip olduklarını, amaçlandığı gibi çalışmak zorunda olduklarını ancak bunun aynı zamanda “AI tarayıcısı tarafından AI asistanına aktarılan doğrulanmamış herhangi bir içeriğin potansiyel bir tehdit vektörü haline gelebileceği” anlamına geldiğini açıkladı.
“Comet gibi ajan yapay zeka tarayıcılarında, yapay zeka asistanının kullanıcı verilerini otomatik olarak göndermesiyle saldırı daha da artabilir [that’s entered in a web page] Aktör kontrolündeki uç noktaları tehdit etmek için.”
İyi haber şu ki, Cato Networks bulgularını Google, Microsoft ve Perplexity’ye açıkladıktan sonra son ikisi bir düzeltme oluşturup uyguladılar.
Düzeltmeler, Perplexity yapı numarası 28106 olan Comet v142.0.7444.60 (Resmi Yapı) (arm64) ve Copilot’lu (Hızlı yanıt) Edge v142.0.3595.94 sürümlerinde bulunmaktadır.
“Google, HashJack’i ‘amaçlanan davranış’ olarak sınıflandırdı çünkü belirttikleri gibi, model çıktısının kontrolünü, yanıltıcı yanıtları ve hatta zararlı talimatları güvenlik açıkları olarak ele almıyorlar. Google, etkiyi herhangi bir güvenlik sınırında bir kırılmadan ziyade ‘sosyal mühendislik’ olarak tanımlıyor. Simonovich, Help Net Security’ye verdiği demeçte yalnızca bir sorunu – oluşturulan bağlantılarda ara sıra arama yönlendirmesinin olmayışı – düşük önemde bir hata olarak fark etti.”
Ayrıca Chrome için Claude’un neden en başından beri saldırıya karşı bağışıklı olduğunu da açıkladı: “[It] farklı çalışıyor ve URL parçasına doğrudan erişimi yok.”
Bununla birlikte, HashJack’in çok adımlı bir süreç olması ve kullanıcıların yalnızca bir bağlantıya tıklamak yerine AI tarayıcı asistanıyla etkileşime girmesine dayanması nedeniyle bu sorunun yaygın şekilde istismar edilmesinin pek olası olmadığını ekledi.
“Bu engellerin sömürülebilirliği kesinlikle azaltabileceğine inanıyorum. Ayrıca Google’ın bu tür saldırılara karşı daha iyi savunma sağlamak için araştırmamızı yeniden değerlendireceğini umuyorum” dedi.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmamak için son dakika haber e-posta uyarımıza abone olun. Buradan abone olun!