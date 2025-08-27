ИИ может выполнять манипуляции в интересах хакера / © Unsplash

Разработчики проявили критическую уязвимость в ИИ-ассистенте, в частности, Comet — браузер со встроенными функциями искусственного интеллекта. от Perplexity. Эта проблема позволяет мошенникам манипулировать ИИ с помощью скрытых команд на веб-страницах, что создает угрозу безопасности пользовательских данных.

Об этом заявили в компании Brave.

Итак, эксперты компании обнаружили: уязвимость заключается в том, как Comet обрабатывает контент вебстраницы. Когда пользователь просит ассистента, например «обобщить эту страницу», модель получает текст страницы вместе с инструкциями пользователя, не различая их.

«Это открывает путь для атак косвенной инъекции промпта (indirect prompt injection), когда вредоносные команды встраиваются в контент сайта», — пишут специалисты.

Злоумышленники могут скрыть их, используя:

белый текст на белом фоне;

HTML-комментарии;

другие невидимые элементы.

Также такие инструкции можно размещать в контенте, созданном пользователями, например, в комментариях на Reddit или в Facebook.

Как происходит атака

В первую очередь происходит подготовка. Злоумышленник размещает скрытые вредные инструкции на веб-странице.

На этапе запуска, ничего не подозревая, пользователь заходит на эту страницу и просит AI-ассистента обобщить ее содержимое.

И вот здесь наступает так называемая «инъекция». При обработке страницы ИИ «видит» скрытые команды и выполняет их как запросы от пользователя.

На этапе эксплуатации вредоносные инструкции могут заставить ИИ выполнить опасные действия: перейти на банковский сайт, извлечь сохраненные пароли или отправить конфиденциальные данные на сервер злоумышленника.

Пример: похищение данных из аккаунта

Для демонстрации уязвимости Brave создали подтверждение концепции. Они показали, как AI-ассистент Comet может, выполняя скрытые команды из комментария на Reddit, автоматически:

перейти на страницу аккаунта пользователя Perplexity;

извлечь адрес электронной почты;

использовать ее для входа, чтобы получить одноразовый пароль (OTP) из Gmail;

отправить украденные данные (почту и OTP) обратно на Reddit в виде ответа на комментарий.

«Эта атака происходит полностью без участия пользователя и позволяет злоумышленнику получить контроль над аккаунтом», — говорят разработчики.

Последствия и возможные решения

«Традиционные механизмы веббезопасности, такие как Same-Origin Policy, бессильны против таких атак, поскольку AI действует с полными правами пользователя в его сессиях», — сообщает команда разработчиков и предлагает несколько стратегий для защиты.

Четкое разграничение. Браузер должен четко отделять инструкции пользователя от содержимого вебстраницы, поскольку последний всегда непроверен. Проверка действий. Все действия, которые собирается выполнить ИИ, должны проверяться на соответствие исходному пользовательскому запросу. Подтверждение чувствительных действий. Для отправки электронной почты или доступа к конфиденциальной информации ИИ должен всегда запрашивать явное подтверждение пользователя. Изоляция. Работа ШИ-ассистента должна быть изолирована от обычного веб-серфинга.

