Az utasításbefecskendezés veszélye
Az MI-asszisztens által vezérelt “ügynöki böngészésről” kiderült, hogy új és korábban nem tapasztalt támadási módszerek megjelenését teszi lehetővé. Egyre többen bízzák ilyen asszisztensekre belépési adataikat banki, egészségügyi vagy más kritikus weboldalakon. De mi történik, ha az MI „hallucinál”, vagy váratlan műveletet hajt végre? Még súlyosabb probléma, hogy akár egy ártalmatlannak tűnő weboldal vagy egy közösségi megjegyzés is ellophatja a belépéshez szükséges adatokat, pusztán azzal, hogy rejtett utasításokat csempész az MI által feldolgozott tartalomba.
Konkrét sebezhetőség: a Perplexity Comet támadhatósága
A Perplexity egyik népszerű MI-böngészője, a Comet, ékes példája a kialakuló védekezési problémáknak. Amikor a felhasználó azt kéri a Comettől: “Foglald össze ezt az oldalt” („Summarize this page”), az MI-asszisztens közvetlenül továbbküldi az oldal adott szövegrészét a gépi tanulási modellnek, amely nem tudja szétválasztani a felhasználói kérést az oldal megbízhatatlan tartalmától. Ez lehetőséget ad a támadóknak egy úgynevezett indirekt prompt injection támadásra – vagyis rejtett utasításokat juttatnak el a böngésző számára, amelyeket az MI végre is hajt.
Ez a módszer lehetővé teszi, hogy a támadó akár egy másik böngészőfülben nyitott oldalba rejtve is hozzáférhessen a felhasználó e-mailjeihez, vagy más érzékeny információhoz.
Így működik a támadás
A támadó láthatatlan utasításokat rejt el – fehér szöveget fehér háttérrel, HTML-kommentbe burkolt sorokat, vagy más trükkös megoldást alkalmazva – egy weboldalon vagy közösségi bejegyzésben. A gyanútlan felhasználó meglátogatja az oldalt, például egy Reddit-bejegyzést, majd rákattint a böngésző MI-asszisztense által kínált oldalösszegző funkcióra. A Comet, illetve az MI-asszisztens, mivel nem tud különbséget tenni a tényleges kérés és a rejtett manipuláció között, mindent végrehajt.
A támadás során az MI a következőket teszi:
– Megszerzi a felhasználó e-mail címét.
– Bejelentkezik ezzel az e-mail címmel egy másik oldalra, hogy megszerezzen egy egyszer használatos jelszót (OTP).
– Olyan oldalra navigál, ahol a felhasználó már be van jelentkezve, majd elolvassa a beérkezett kódot.
– Az e-mail címet és az egyszer használatos kódot továbbítja a támadónak – például egy válaszkommentben.
Mindez a gyanútlan felhasználó közreműködése nélkül történik, csupán az MI-funkció használatával.
Miért veszélyes ez?
A hagyományos böngészőbiztonsági technikák, mint például az azonos forráspolitika (SOP) vagy a kereszt-forrás erőforrás-megosztás (CORS), teljesen hatástalanok az ilyen MI-ügynökök támadásaival szemben. Az MI a felhasználó összes jogosultságával működik, hozzáférve banki fiókokhoz, céges rendszerekhez vagy magán e-mailekhez. Ami igazán riasztó: ez a támadás több weboldalon keresztül, akár egyetlen elhelyezett utasítással is működhet, és akár egy közösségi platform bármely felhasználóját is célba veheti.
Lehetséges védekezés az MI-böngészőknél
Ennek fényében alapvető átalakításokra van szükség:
– A böngészőnek élesen szét kell választania a felhasználó utasításait és az oldal tartalmát. Az oldal tartalmát mindig megbízhatatlannak kell tekinteni.
– Az MI által javasolt böngészőműveleteket függetlenül ellenőrizni kell, megfelelnek-e a felhasználó szándékainak.
– Minden biztonságos vagy adatvédelmi szempontból érzékeny műveletnél kötelezővé kell tenni a felhasználó kifejezett megerősítését.
– Az MI-ügynök böngészési módját jól láthatóan el kell különíteni a normál böngészéstől, hogy a felhasználó ne kerüljön véletlenül ebbe az üzemmódba.
Lényeges, hogy a böngészőkben az ügynöki képességeket nem szabad automatikusan, teljes körűen elérhetővé tenni; az engedélyezésnek szigorúnak és a funkcióknak jól elkülöníthetőnek kell lenniük.
Múltbéli incidensek, együttműködés, tanulságok
A konkrét sebezhetőséget 2025. július 25-én jelentették a fejlesztőnek, majd néhány napon belül részleges javítást vezettek be. Augusztus közepére a sebezhetőséget látszólag lezárták, bár további tesztelések alapján még mindig nem sikerült teljesen elhárítani a veszélyt.
Az ilyen kutatások célja, hogy rávilágítsanak a kockázatokra, és ösztönözzék a fejlesztőket és a szabványalkotókat, hogy megbízhatóbb architektúrákat vezessenek be az MI-alapú böngészés terén. Egy biztonságosabb web mindenki közös érdeke.
Következtetés
Az MI-asszisztensek önállósága kényelmet, de újfajta veszélyeket is rejt: könnyen előfordulhat, hogy az MI olyan műveleteket hajt végre, amelyeket a felhasználó sosem akart. Az ilyen indirekt prompt injection típusú támadások alapjaiban reformálhatják meg a böngészőbiztonságot. Az MI-asszisztensek bevezetése előtt elengedhetetlen, hogy a fejlesztők valóban átgondolt, szigorú védelmi intézkedéseket valósítsanak meg – a felhasználók adatainak valódi védelme érdekében.
