ทีมวิจัยด้านความปลอดภัยของ Brave ได้เปิดเผยช่องโหว่ร้ายแรงในเบราว์เซอร์ Comet ของ Perplexity ที่ช่วยให้ผู้โจมตีสามารถขโมยข้อมูลประจำตัวของผู้ใช้ผ่านวิธีการที่เรียบง่ายอย่างน่าประหลาดใจ การค้นพบนี้ได้จุดประกายการถกเถียงอย่างเข้มข้นในชุมชนเทคโนโลยี โดยผู้เชี่ยวชาญด้านความปลอดภัยตั้งคำถามว่าข้อบกพร่องพื้นฐานเช่นนี้เข้าสู่การใช้งานจริงได้อย่างไร
ช่องโหว่นี้มีจุดศูนย์กลางอยู่ที่สิ่งที่นักวิจัยด้านความปลอดภัยเรียกว่า indirect prompt injection ซึ่งเป็นเทคนิคที่คำสั่งที่เป็นอันตรายถูกซ่อนอยู่ในเนื้อหาเว็บเพจที่ผู้ช่วย AI ประมวลผล เมื่อผู้ใช้ขอให้ Comet สรุปเว็บเพจ เบราว์เซอร์จะป้อนทั้งคำขอของผู้ใช้และเนื้อหาเว็บเพจไปยังโมเดล AI โดยตรงโดยไม่แยกแยะระหว่างคำสั่งที่เชื่อถือได้จากผู้ใช้และเนื้อหาเว็บไซต์ที่อาจเป็นอันตราย
กระบวนการโจมตี:
- การเตรียมการ: ผู้โจมตีฝังคำสั่งที่เป็นอันตรายในเนื้อหาเว็บไซต์ (ข้อความที่มองไม่เห็น, HTML comments, โพสต์โซเชียลมีเดีย)
- การกระตุ้น: ผู้ใช้เข้าไปยังหน้าเว็บไซต์และใช้ฟีเจอร์สรุปข้อมูลด้วย AI
- การแทรกซึม: AI ประมวลผลคำสั่งที่ซ่อนอยู่เสมือนเป็นคำสั่งที่ถูกต้องจากผู้ใช้
- การใช้ประโยชน์: AI ดำเนินการที่ไม่ได้รับอนุญาต เช่น การเข้าถึงเว็บไซต์ธนาคารหรือการดึงข้อมูลรับรองตัวตน
ปฏิกิริยาจากชุมชนเน้นย้ำความกังวลทั่วทั้งอุตสาหกรรม
การตอบสนองของชุมชนเทคโนโลจีค่อนข้างรุนแรง โดยหลายคนชี้ให้เห็นว่านี่เป็นหลักฐานของการพัฒนา AI ที่เร่งรีบ ผู้เชี่ยวชาญด้านความปลอดภัยแสดงความหงุดหงิดที่การละเลยพื้นฐานเช่นนี้เกิดขึ้นในบริษัท AI ที่ได้รับเงินทุนมาก เหตุการณ์นี้ได้จุดประกายการถกเถียงใหม่เกี่ยวกับว่าอุตสาหกรรม AI กำลังให้ความสำคัญกับความเร็วมากกว่าความปลอดภัยหรือไม่
นี่ไม่ใช่การโจมตีขั้นสูง นี่คือ LLM security 101 ดูเหมือนว่าพวกเขาไม่มีใครคิดเรื่องความปลอดภัยเลย และแน่นอนว่าไม่มีใครได้รับมอบหมายให้ดูแลความปลอดภัย
การโจมตีทำงานผ่านกระบวนการที่เรียบง่ายแต่หลอกลวง ผู้โจมตีสามารถฝังคำสั่งที่เป็นอันตรายในเนื้อหาเว็บเพจโดยใช้ข้อความที่มองไม่เห็น HTML comments หรือแม้แต่โพสต์บนโซเชียลมีเดีย เมื่อผู้ใช้โต้ตอบกับฟีเจอร์สรุปของ Comet AI จะประมวลผลคำสั่งที่ซ่อนอยู่เหล่านี้เป็นคำขอที่ถูกต้องจากผู้ใช้ ซึ่งอาจเข้าถึงเว็บไซต์ธนาคาร ดึงรหัสผ่าน หรือส่งข้อมูลที่ละเอียดอ่อนไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม
ไทม์ไลน์ช่องโหว่:
- 26 กรกฎาคม 2023: การค้นพบครั้งแรกและรายงานให้ Perplexity
- 27 กรกฎาคม 2023: Perplexity รับทราบและดำเนินการแก้ไขเบื้องต้น
- 28 กรกฎาคม 2023: การทดสอบซ้ำเผยให้เห็นว่าการแก้ไขยังไม่สมบูรณ์
- 13 สิงหาคม 2023: การทดสอบครั้งสุดท้ายแสดงให้เห็นการแพทช์ที่ชัดเจน
- 28 สิงหาคม 2023: การเปิดเผยต่อสาธารณะ (ช่องโหว่อาจยังคงมีอยู่)
ความท้าทายทางเทคนิคเผยให้เห็นข้อจำกัดของ AI ที่ลึกซึ้งกว่า
ช่องโหว่นี้เปิดเผยความท้าทายพื้นฐานของเทคโนโลยี AI ในปัจจุบัน ซึ่งแตกต่างจากมาตรการความปลอดภัยเว็บแบบดั้งเดิมที่สามารถสร้างขอบเขตที่ชัดเจนระหว่างเนื้อหาที่เชื่อถือได้และไม่เชื่อถือได้ โมเดล AI ประมวลผลข้อความทั้งหมดในบริบทเดียวกัน ทำให้เป็นการยากมากที่จะแยกคำสั่งของผู้ใช้ออกจากเนื้อหาเว็บเพจที่อาจเป็นอันตรายได้อย่างน่าเชื่อถือ
มีการเสนอแนวทางแก้ไขหลายวิธี แต่แต่ละวิธีมาพร้อมกับข้อจำกัดที่สำคัญ การเพิ่ม delimiter พิเศษหรือการฝึกโมเดลให้เพิกเฉยต่อเนื้อหาบางอย่างได้พิสูจน์แล้วว่าไม่น่าเชื่อถือในทางปฏิบัติ แนวทางที่ปลอดภัยที่สุดเกี่ยวข้องกับการอนุมัติจากมนุษย์สำหรับการกระทำที่ละเอียดอ่อน แต่สิ่งนี้ลดความสามารถในการทำงานอัตโนมัติที่ทำให้ผู้ช่วย AI น่าสนใจในตอนแรก
เหตุการณ์นี้ยังเน้นย้ำให้เห็นว่าผู้ช่วย AI สามารถหลีกเลี่ยงการป้องกันความปลอดภัยเว็บแบบดั้งเดิมได้อย่างไร เมื่อ AI ทำงานด้วยสิทธิ์ผู้ใช้เต็มรูปแบบในเซสชันที่ได้รับการตรวจสอบสิทธิ์ การป้องกันแบบเดิมเช่น same-origin policy กลายเป็นไร้ประสิทธิภาพ สิ่งนี้สร้างช่องทางการโจมตีใหม่ที่ชุมชนความปลอดภัยเว็บยังคงเรียนรู้ที่จะจัดการ
มาตรการรักษาความปลอดภัยที่เสนอ:
- การแยกแยะอย่างชัดเจนระหว่างคำสั่งของผู้ใช้และเนื้อหาของเว็บไซต์
- การตรวจสอบความสอดคล้องกับผู้ใช้สำหรับการดำเนินการทั้งหมดที่ AI เสนอ
- การปฏิสัมพันธ์ของผู้ใช้แบบบังคับสำหรับงานที่มีความไวต่อความปลอดภัย
- การแยก agentic browsing ออกจากเซสชันการเรียกดูปกติ
- สิทธิ์ขั้นต่ำและการควบคุมการเข้าถึงแบบละเอียด
ผลกระทบในวงกว้างต่อการพัฒนาเบราว์เซอร์ AI
ช่องโหว่นี้แสดงถึงมากกว่าการละเลยของบริษัทเดียว แต่สะท้อนถึงความท้าทายเชิงระบบที่อุตสาหกรรม AI ทั้งหมดกำลังเผชิญ เมื่อเบราว์เซอร์รวมความสามารถ AI มากขึ้น โอกาสในการโจมตีแบบคล้ายกันจะเพิ่มขึ้นอย่างมาก เดิมพันจะสูงเป็นพิเศษเมื่อผู้ช่วย AI มีการเข้าถึงเซสชันที่ล็อกอินสำหรับธนาคาร การดูแลสุขภาพ และบริการที่ละเอียดอ่อนอื่น ๆ
การวิจัยของ Brave เสนอกลยุทธ์การลดความเสี่ยงหลายประการ รวมถึงการแยก AI browsing ออกจากเซสชันการเรียกดูปกติ และการต้องการการยืนยันจากผู้ใช้อย่างชัดเจนสำหรับการกระทำที่ละเอียดอ่อน อย่างไรก็ตาม การนำการป้องกันเหล่านี้มาใช้ในขณะที่รักษาประสบการณ์ผู้ใช้ยังคงเป็นความท้าทายที่สำคัญสำหรับนักพัฒนาทั่วทั้งอุตสาหกรรม
ไทม์ไลน์การเปิดเผยแสดงให้เห็นว่าการตอบสนองเริ่มต้นของ Perplexity รวดเร็วแต่ไม่สมบูรณ์ แม้จะมีการแก้ไขหลายรอบ Brave ระบุว่าช่องโหว่อาจไม่ได้รับการแก้ไขอย่างสมบูรณ์แม้หลังจากการเปิดเผยต่อสาธารณะ รูปแบบของการแก้ไขที่ไม่สมบูรณ์นี้กำลังกลายเป็นเรื่องธรรมดามากขึ้นเมื่อบริษัทต่าง ๆ ต่อสู้เพื่อจัดการกับความท้าทายด้านความปลอดภัยใหม่ที่เกิดจากการรวม AI
อ้างอิง: Agentic Browser Security: Indirect Prompt Injection in Perplexity Comet
 |
|---|
| สำรวจความสำคัญของความไว้วางใจและความปลอดภัยในเบราว์เซอร์ที่รวม AI ท่ามกลางช่องโหว่ต่าง ๆ |