Hogyan működik a rejtett támadás?
A LayerX kutatói kidolgoztak egy olyan módszert, amely egyedi betűtípusokat és karakterátrendezést használ, így a veszélyes utasítás olvashatóan jelenik meg a felhasználó számára, miközben az MI‑asszisztensek csak a jelentéktelen, rejtett szöveget „olvassák ki” a HTML‑kódból. A támadók a CSS segítségével elrejtik az ártalmatlan szövegrészeket, vagy szinte láthatatlanná teszik azokat.
A vizsgálatok során több, széles körben használt MI‑asszisztens – köztük a ChatGPT, Claude, Copilot, Gemini, Leo, Grok, Perplexity, Sigma, Dia, Fellou és Genspark – képtelen volt azonosítani a rejtett, de a böngészőben jól olvasható támadó parancsokat. A gyakorlatban ez azt jelenti, hogy a felhasználó akár úgy is lefuttathat veszélyes kódot, hogy előzetesen ellenőrizteti azt egy MI‑vel, amely semmilyen veszélyt nem jelez.
Az iparági reakciók és megelőzési lehetőségek
A LayerX 2025 decemberében jelentette az esetet az érintett MI‑asszisztensek fejlesztőinek. A legtöbb szolgáltató – például a Google – szerint a probléma kívül esik a felelősségi körükön, mert társadalmi manipulációt is igényel. Egyedül a Microsoft ismerte el a jelentőségét, és azonnal lépett az ügyben.
A biztonsági szakértők szerint a felhasználóknak nem szabad teljes mértékben megbízniuk az MI‑asszisztensek véleményében, hiszen ezek a rendszerek még nem tudják minden esetben megbízhatóan felismerni az ilyen rafinált támadási módokat. Következésképpen a hatékonyabb védelem érdekében olyan modellekre lenne szükség, amelyek az oldal tényleges megjelenését a forráskóddal összevetve elemzik. Emellett a fejlesztőknek érdemes figyelniük a betűtípusokra, valamint észlelniük kellene a szinte láthatatlan szövegeket is (például az előtér‑ és háttérszín egyezése, minimális átlátszóság, túl kicsi betűméret).
