Такой подход позволяет злоумышленникам вводить пользователей в заблуждение и заставлять выполнять вредоносные команды — от кражи криптовалюты до установки бэкдоров.
Ранее SquareX уже демонстрировала, как с помощью поддельных инструкций можно заставить браузеры с ИИ, такие как Comet, скачивать вредоносные файлы и открывать доступ к корпоративнымприложениям, пишет Securitylab. Новое исследование показывает, что атаковать можно саму среду взаимодействия — панель ИИ, через которую пользователи общаются с искусственным интеллектом.
Атака начинается с установки расширения, замаскированного под полезный инструмент — например, менеджер паролей или помощник на базе ИИ. Иногда это легитимное расширение, взломанное или выкупленное злоумышленниками (в числе примеров упомянуты Cyberhaven, Geco Colorpick, Great Suspender). После установки оно внедряет JavaScript, создающий точную визуальную копию настоящей панели ИИ в браузере.
Как отмечают исследователи, атака требует лишь стандартных разрешений — host и storage, аналогичных тем, что используют Grammarly и менеджеры паролей. Это делает её практически невидимой для классического анализа разрешений.
Далее пользователь вводит запрос в поддельную панель, думая, что взаимодействует с реальным интерфейсом ИИ. Расширение подключает языковую модель (в тестах — Gemini) и генерирует ответ, в который подмешивает вредоносные команды.
SquareX приводит три показательных сценария:
SquareX отмечает, что подобные атаки можно проводить не только через расширения, но и через сайты с внедрёнными фальшивыми панелями ИИ. Однако вариант с расширением опаснее — он не требует посещения специального домена и может сработать на любой странице.
Компания уведомила Perplexity об обнаруженной уязвимости в рамках процедуры ответственного раскрытия, однако ответа не получила.