27/10/25
Такой подход позволяет злоумышленникам вводить пользователей в заблуждение и заставлять выполнять вредоносные команды — от кражи криптовалюты до установки бэкдоров.
Ранее SquareX уже демонстрировала, как с помощью поддельных инструкций можно заставить браузеры с ИИ, такие как Comet, скачивать вредоносные файлы и открывать доступ к корпоративнымприложениям, пишет Securitylab. Новое исследование показывает, что атаковать можно саму среду взаимодействия — панель ИИ, через которую пользователи общаются с искусственным интеллектом.
Атака начинается с установки расширения, замаскированного под полезный инструмент — например, менеджер паролей или помощник на базе ИИ. Иногда это легитимное расширение, взломанное или выкупленное злоумышленниками (в числе примеров упомянуты Cyberhaven, Geco Colorpick, Great Suspender). После установки оно внедряет JavaScript, создающий точную визуальную копию настоящей панели ИИ в браузере.
Как отмечают исследователи, атака требует лишь стандартных разрешений — host и storage, аналогичных тем, что используют Grammarly и менеджеры паролей. Это делает её практически невидимой для классического анализа разрешений.
Далее пользователь вводит запрос в поддельную панель, думая, что взаимодействует с реальным интерфейсом ИИ. Расширение подключает языковую модель (в тестах — Gemini) и генерирует ответ, в который подмешивает вредоносные команды.
SquareX приводит три показательных сценария:
- Кража криптовалюты. Пользователь просит подсказать, как вывести средства с Binance. Поддельная панель подменяет ссылку на фишинговый сайт binacee, визуально неотличимый от оригинала. Введённые учётные данные мгновенно используются злоумышленниками для входа в реальный аккаунт.
- OAuth-фишинг. Жертва запрашивает сервисы для обмена файлами. Панель предлагает собственный сайт, который при авторизации через Google запрашивает полный доступ к Drive и Gmail, позволяя атакующим читать почту и копировать документы.
- Захват устройства. Пользователь просит инструкцию по установке Homebrew. Один из шагов подменяется на команду обратной оболочки, частично закодированной в Base64. После её запуска устройство подключается к серверу злоумышленника, открывая ему системную консоль для выполнения команд и последующего развёртывания шифровальщика.
SquareX отмечает, что подобные атаки можно проводить не только через расширения, но и через сайты с внедрёнными фальшивыми панелями ИИ. Однако вариант с расширением опаснее — он не требует посещения специального домена и может сработать на любой странице.
Компания уведомила Perplexity об обнаруженной уязвимости в рамках процедуры ответственного раскрытия, однако ответа не получила.
