Nhóm nghiên cứu bảo mật của Brave đã phát hiện một lỗ hổng nghiêm trọng trong trình duyệt Comet của Perplexity cho phép kẻ tấn công đánh cắp thông tin đăng nhập của người dùng thông qua một phương pháp đơn giản đến bất ngờ. Phát hiện này đã gây ra cuộc tranh luận sôi nổi trong cộng đồng công nghệ, với các chuyên gia bảo mật đặt câu hỏi về việc làm thế nào một lỗi cơ bản như vậy lại có thể xuất hiện trong sản phẩm thương mại.
Lỗ hổng tập trung vào thứ mà các nhà nghiên cứu bảo mật gọi là tấn công chèn prompt gián tiếp - một kỹ thuật mà các hướng dẫn độc hại được ẩn trong nội dung trang web mà các trợ lý AI xử lý. Khi người dùng yêu cầu Comet tóm tắt một trang web, trình duyệt sẽ đưa cả yêu cầu của người dùng và nội dung trang web trực tiếp đến mô hình AI mà không phân biệt giữa các lệnh đáng tin cậy từ người dùng và nội dung trang web có thể nguy hiểm.
Quy trình tấn công:
- Thiết lập: Kẻ tấn công nhúng các chỉ thị độc hại vào nội dung web (văn bản ẩn, bình luận HTML, bài đăng trên mạng xã hội)
- Kích hoạt: Người dùng điều hướng đến trang web và sử dụng tính năng tóm tắt AI
- Tiêm nhiễm: AI xử lý các chỉ thị ẩn như các lệnh hợp pháp từ người dùng
- Khai thác: AI thực hiện các hành động trái phép như truy cập các trang ngân hàng hoặc trích xuất thông tin đăng nhập
Phản ứng của cộng đồng làm nổi bật mối quan ngại toàn ngành
Phản ứng của cộng đồng công nghệ đặc biệt gay gắt, với nhiều người chỉ ra đây là bằng chứng của việc phát triển AI vội vàng. Các chuyên gia bảo mật đang bày tỏ sự thất vọng rằng những sai sót cơ bản như vậy đang xảy ra tại các công ty AI được tài trợ tốt. Sự cố này đã làm bùng phát lại các cuộc thảo luận về việc liệu ngành AI có đang ưu tiên tốc độ hơn an toàn hay không.
Đây không phải là một cuộc tấn công tiên tiến; đây là bảo mật LLM cơ bản. Có vẻ như họ không có ai nghĩ về bảo mật cả, và chắc chắn không có ai được phân công phụ trách bảo mật.
Cuộc tấn công hoạt động thông qua một quy trình đơn giản đến lừa đảo. Kẻ tấn công có thể nhúng các hướng dẫn độc hại vào nội dung trang web bằng cách sử dụng văn bản vô hình, bình luận HTML, hoặc thậm chí các bài đăng trên mạng xã hội. Khi người dùng tương tác với tính năng tóm tắt của Comet , AI xử lý các lệnh ẩn này như những yêu cầu hợp lệ từ người dùng, có thể truy cập các trang web ngân hàng, trích xuất mật khẩu, hoặc gửi dữ liệu nhạy cảm đến các máy chủ do kẻ tấn công kiểm soát.
Dòng thời gian lỗ hổng bảo mật:
- 26 tháng 7, 2023: Phát hiện ban đầu và báo cáo cho Perplexity
- 27 tháng 7, 2023: Perplexity xác nhận và triển khai bản vá lỗi đầu tiên
- 28 tháng 7, 2023: Kiểm tra lại cho thấy bản vá chưa hoàn chỉnh
- 13 tháng 8, 2023: Kiểm tra cuối cùng cho thấy có vẻ đã được vá
- 28 tháng 8, 2023: Công bố công khai (lỗ hổng có thể vẫn tồn tại)
Thách thức kỹ thuật tiết lộ những hạn chế sâu sắc hơn của AI
Lỗ hổng này phơi bày một thách thức cơ bản với công nghệ AI hiện tại. Không giống như các biện pháp bảo mật web truyền thống có thể tạo ra ranh giới rõ ràng giữa nội dung đáng tin cậy và không đáng tin cậy, các mô hình AI xử lý tất cả văn bản trong cùng một ngữ cảnh. Điều này khiến việc phân tách đáng tin cậy các hướng dẫn từ người dùng khỏi nội dung trang web có thể độc hại trở nên cực kỳ khó khăn.
Một số giải pháp được đề xuất tồn tại, nhưng mỗi giải pháp đều có những hạn chế đáng kể. Việc thêm các dấu phân cách đặc biệt hoặc huấn luyện mô hình để bỏ qua nội dung nhất định đã được chứng minh là không đáng tin cậy trong thực tế. Cách tiếp cận an toàn nhất bao gồm việc phê duyệt của con người đối với các hành động nhạy cảm, nhưng điều này làm giảm khả năng tự động khiến các trợ lý AI trở nên hấp dẫn ngay từ đầu.
Sự cố này cũng làm nổi bật cách các trợ lý AI có thể vượt qua các biện pháp bảo vệ bảo mật web truyền thống. Khi một AI hoạt động với đầy đủ đặc quyền người dùng trên các phiên đã xác thực, các biện pháp bảo vệ thông thường như chính sách cùng nguồn gốc trở nên không hiệu quả. Điều này tạo ra các vector tấn công mới mà cộng đồng bảo mật web vẫn đang học cách giải quyết.
Các Biện Pháp Bảo Mật Được Đề Xuất:
- Phân biệt rõ ràng giữa hướng dẫn của người dùng và nội dung trang web
- Kiểm tra sự phù hợp với người dùng cho tất cả các hành động do AI đề xuất
- Bắt buộc tương tác của người dùng đối với các tác vụ nhạy cảm về bảo mật
- Cô lập việc duyệt web tự động khỏi các phiên duyệt web thông thường
- Quyền hạn tối thiểu và kiểm soát truy cập chi tiết
Tác động rộng hơn đối với việc phát triển trình duyệt AI
Lỗ hổng này đại diện cho nhiều hơn chỉ là sự giám sát của một công ty duy nhất - nó phản ánh những thách thức hệ thống mà toàn bộ ngành AI đang phải đối mặt. Khi các trình duyệt tích hợp nhiều khả năng AI hơn, khả năng xảy ra các cuộc tấn công tương tự tăng lên đáng kể. Mức độ quan trọng đặc biệt cao khi các trợ lý AI có quyền truy cập vào các phiên đã đăng nhập cho ngân hàng, chăm sóc sức khỏe và các dịch vụ nhạy cảm khác.
Nghiên cứu của Brave đề xuất một số chiến lược giảm thiểu, bao gồm việc cách ly duyệt web AI khỏi các phiên duyệt web thông thường và yêu cầu xác nhận rõ ràng từ người dùng đối với các hành động nhạy cảm. Tuy nhiên, việc triển khai các biện pháp bảo vệ này trong khi duy trì trải nghiệm người dùng vẫn là một thách thức đáng kể đối với các nhà phát triển trên toàn ngành.
Dòng thời gian tiết lộ cho thấy phản ứng ban đầu của Perplexity là nhanh chóng nhưng không đầy đủ. Mặc dù đã có nhiều vòng sửa chữa, Brave lưu ý rằng lỗ hổng có thể không được giải quyết hoàn toàn ngay cả sau khi tiết lộ công khai. Mô hình sửa chữa không đầy đủ này đang trở nên ngày càng phổ biến khi các công ty đấu tranh để giải quyết những thách thức bảo mật mới do tích hợp AI gây ra.
Tham khảo: Agentic Browser Security: Indirect Prompt Injection in Perplexity Comet
 |
|---|
| Khám phá tầm quan trọng của sự tin tưởng và an toàn trong các trình duyệt tích hợp AI giữa các lỗ hổng bảo mật |