OpenAI'nin Atlas ve Perplexity'nin Comet tarayıcıları, yerleşik yapay zeka kenar çubuğunu taklit eden ve kullanıcıları kötü niyetli talimatları izlemeye yönlendirebilen saldırılara karşı savunmasızdır.
AI Kenar Çubuğu Sahtekarlığı saldırısı, tarayıcı güvenlik şirketi SquareX'teki araştırmacılar tarafından tasarlandı ve iki tarayıcının en son sürümlerinde çalışıyor.
Araştırmacılar, bir tehdit aktörünün, kripto para birimini çalmak, bir hedefin Gmail ve Google Drive hizmetlerine erişmek ve bir cihazı ele geçirmek için Yapay Zeka Kenar Çubuğu Sahtekarlığını kullanabileceği üç gerçekçi saldırı senaryosu oluşturdu.
Atlas ve Comet, kullanıcıların gezinirken etkileşimde bulunabileceği büyük dil modellerini (LLM'ler) bir kenar çubuğuna entegre eden aracı yapay zeka tarayıcılarıdır: geçerli sayfayı özetlemeyi isteyin, komutları yürütün veya otomatikleştirilmiş görevleri gerçekleştirin.
Comet Temmuz ayında piyasaya sürüldü, ChatGPT Atlas ise bu haftanın başında macOS için kullanıma sunuldu. Comet piyasaya sürülmesinden bu yana, belirli koşullar altında güvenlik riskleri taşıdığını gösteren birçok araştırmanın [1, 2, 3] hedefi olmuştur.
SquareX, hem Comet hem de Atlas'ta, kullanıcının gördüğü web sayfasına JavaScript enjekte eden kötü amaçlı bir uzantı kullanarak orijinal kenar çubuğunun üzerine sahte bir kenar çubuğu çizmenin mümkün olduğunu buldu.
Sahte kenar çubuğu, aracı tarayıcıdakiyle aynı olacak ve standart kullanıcı arayüzünün parçası gibi görünen yanıltıcı bir öğe yaratacaktır. Sahte, gerçek olanın üzerine bindiği ve tüm etkileşimleri engellediği için kullanıcılar sahtekarlıktan tamamen habersiz olacaktır.
"Kurban yeni bir tarayıcı sekmesi açtığında, uzantı web sayfasına javascript enjekte ederek AI Tarayıcının kenar çubuğuyla tamamen aynı görünen sahte bir kenar çubuğu oluşturabilir" - SquareX.
Bir uzantı kullanıldığında, enjekte edilen JavaScript, kullanıcının ziyaret ettiği her sitede kötü amaçlı kenar çubuğu kaplamasını oluşturabilir.
SquareX, böyle bir uzantının yalnızca Grammarly ve şifre yöneticileri gibi üretkenlik araçlarında yaygın olan "ana bilgisayar" ve "depolama" izinlerini gerektireceğini belirtiyor.
Araştırmacılar, "Sahtekarlık ve gerçek AI kenar çubuğu arasında görsel ve iş akışı farkı olmadığından, kullanıcı büyük olasılıkla gerçek AI Tarayıcı kenar çubuğuyla etkileşime girdiğine inanacaktır" diyor.
SquareX, bulgularını göstermek için Comet tarayıcısında Google'ın Gemini yapay zekasını kullandı. Araştırmacılar, belirli istemlere kötü niyetli talimatlarla yanıt veren belirli parametreler kullandı.
Raporda SquareX'in öne çıkan üç örneği:
Gerçek saldırılar çok daha fazla "tetikleyici istem" kullanabilir ve bu da kullanıcıları sıklıkla geniş bir yelpazedeki riskli eylemlere itebilir.
Araştırmanın yapıldığı dönemde OpenAI, Atlas tarayıcısını yayınlamamıştı ve SquareX, AI Kenar Çubuğu Sahtekarlığı saldırısını yalnızca Comet üzerinde denemişti.
Ancak saldırıyı OpenAI'nin Atlas tarayıcısı başlatıldığında da test ettiler ve AI Kenar Çubuğu Sahteciliğinin bu tarayıcıda da çalıştığını doğruladılar.
Araştırmacılar konu hakkında hem Perplexity hem de OpenAI ile temasa geçti ancak ikisi de yanıt vermedi. BleepingComputer da şirketlere ulaştı ancak yayınlanma süresine göre herhangi bir yanıt alamadı.
Ajansal AI tarayıcılarının kullanıcıları, bu araçların oluşturduğu birçok riskin farkında olmalı ve kullanımlarını hassas olmayan faaliyetlerle sınırlandırmalı, e-posta, finansal bilgiler veya diğer özel verileri içeren görevlerden kaçınmalıdır.
Her ne kadar ortaya çıkan saldırılara yanıt olarak her sürümde yeni güvenlik önlemleri eklense de, bu tarayıcılar saldırı yüzeyini sıradan gezinmenin ötesinde herhangi bir şey için kabul edilebilir bir düzeye indirmek için gereken olgunluk düzeyine henüz ulaşmamıştır.
Ortamların %46'sında şifreler kırıldı; bu oran geçen yılki %25'ten neredeyse iki katına çıktı.
Önleme, tespit ve veri hırsızlığı eğilimlerine ilişkin daha fazla bulguya kapsamlı bir bakış için Picus Blue Report 2025'i hemen edinin.
CommetJacking saldırısı, Comet tarayıcısını e-postaları çalmaya yönlendiriyor
Cesur tarayıcı aylık 100 milyon aktif kullanıcı sınırını aştı
Opera, yeni AI tarayıcısı için ayda 19,90 dolar ödemenizi istiyor
Yeni CoPhish saldırısı, Copilot Studio aracıları aracılığıyla OAuth tokenlarını çaldı
Sıfır Güvenin Kör Noktası Var—Yapay Zeka Temsilcileriniz
Kaynak: Bleeping Computer