- Foi descoberto por pesquisadores Zenity Por favor, conserte issoUm bug de injeção indireta de prompt de clique zero no navegador Comet
- Prompts de calendário maliciosos podem enganar a IA para que exfiltre senhas e arquivos confidenciais sem o conhecimento do usuário
- O bug foi corrigido com restrições de acesso file://, impedindo que os agentes leiam o sistema de arquivos local
Especialistas alertam que o navegador Comet com tecnologia de IA da Perplexity é vulnerável a ataques instantâneos de injeção indireta, que os agentes de ameaças podem aproveitar para exfiltrar dados confidenciais, como senhas.
Os pesquisadores de segurança da Zenity nomearam a falha PleaseFix e demonstraram diferentes maneiras de explorá-la.
Em um blog técnico, Zenity explicou que PleaseFix era uma vulnerabilidade de zero clique, o que significa que não exigia que a vítima executasse nenhum comando ou programa malicioso. Tudo o que a vítima precisa fazer é passar o dia normalmente.
Zero cliques
O cerne do problema é que os agentes de IA não conseguem distinguir entre dados e instruções. Se o usuário instruir a IA a ler e agir em um determinado conjunto de dados, e esse conjunto de dados tiver seu próprio prompt, o agente irá executá-lo sem alertar a vítima.
Na prática, como o Zenity demonstrou, funciona assim: um ator mal-intencionado pode enviar ao seu alvo um convite de calendário que pareça genuíno e benigno para todas as contas. Uma entrada no calendário pode ser qualquer coisa, desde uma ligação de rotina até uma entrevista de emprego. Se a vítima adicionar o convite ao seu calendário e depois pedir ao Comet para resumi-lo ou ajudar a prepará-lo, o agente de IA executará essa ordem, mesmo que a entrada do calendário seja um convite em si.
Nesse cenário, a entrada do calendário solicitava que ela navegasse nos arquivos da vítima, procurasse por “senhas” ou documentos semelhantes e ejetasse qualquer informação encontrada. Um cenário alternativo mostra como a mesma tática pode ser usada para infiltrar senhas armazenadas em um gerenciador de senhas.
A pior parte do ataque é que a vítima não percebe. Tudo acontece em segundo plano, e enquanto a vítima lê o resumo gerado pela IA, como esperado, a IA em segundo plano tornou-se a insider do ladino e trabalhou para o invasor.
Zenity disse que o bug foi corrigido após divulgação diligente.
“A correção inclui um novo limite rígido que limita a capacidade do navegador de acessar caminhos // de arquivos no modo autônomo”, explicaram os pesquisadores.
“Isso significa que, embora o usuário possa acessar esses caminhos, o agente estará restrito. Não importa o prompt ou o estado, o agente não poderá navegar ou operar em URLs começando com file:// e acessar o sistema de arquivos local do usuário.”
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
