דוח חדש של חברת אבטחת הסייבר הישראלית Guardio חושף כי דפדפני ומנגנוני בינה מלאכותית, כולל סוכנים חכמים המיועדים לבצע משימות אוטומטיות עבור משתמשים, חשופים למתקפות פישינג והזרקת פקודות זדוניות (Prompt Injection).
המחקר העלה כי הכלים הללו עלולים לבצע רכישות מזויפות ולהעביר פרטי משתמשים באופן אוטונומי, לעיתים ללא התראה מספקת או יכולת התערבות של המשתמש.
אוטומציה ללא מנגנוני אבטחה בסיסיים
לפי המחקר, שהתפרסם היום (רביעי), דפדפני AI מבטיחים אוטומציה מלאה של משימות מקוונות – מחיפוש ורכישות ועד לטיפול בדוא"ל – אך חסרים בהם מנגנוני אבטחה בסיסיים שיגנו על המשתמשים בזמן אמת. החוקרים בדקו בין היתר את דפדפן Comet של חברת פרפלקסיטי (Perplexity), דפדפן אדג' של מיקרוסופט עם Copilot ומצב הסוכן של OpenAI.
בניסוי שנערך, Comet ביצע רכישה מלאה באתר "וולמארט" מזויף שהוקם במיוחד לצורך העניין. פקודות פשוטות כמו "Comet תקנה לי X" הובילו לתהליך רכישה אוטונומי שכלל הזנת פרטי זהות ותשלום של המשתמש, כאשר רק במקרים בודדים התהליך נעצר או דרש אישור ידני.
2 צפייה בגלריה
מנכ"ל פרפלקסיטי, ארבינד סריניוואס. הדפדפן של החברה ביצע רכישות והזמנת פרטי אשראי מעמודי פישינג
(צילום: בלומברג)
דוגמה נוספת הראתה כיצד מייל מזויף שכלל קישור לעמוד התחברות לצורכי פישינג, גרם לדפדפן להיכנס אליו ולמלא את פרטי המשתמש ללא בדיקת כתובת האתר או התרעה מוקדמת, מה שהוביל לדליפת מידע חמורה.
המחקר חושף גם טכניקת התקפה חדשה בשם “PromptFix”. בשיטה זו, פקודות זדוניות מוחדרות לתוך קוד או “קאפצ’ה” מזויפת (בדומה למתקפה שדיווחנו עליה לפני מספר ימים, ללא מרכיב ה-AI), ומשתלטות על החלטות הסוכן.
הדבר מאפשר לתוקפים לנצל את ההרשאות של ה-AI כדי לבצע פעולות בשם המשתמש, כמו שליחת מיילים עם פרטים אישיים או פתיחת גישה למסמכים רגישים, כשבפועל, שליטה בסוכן משמעותה שליטה ישירה במשתמש.
"המודל לא רק נפל בפח, אלא הוא גם את זה בביטחון מלא"
בגארדיו מתריעים כי השילוב בין שיטות פישינג מסורתיות למתקפות Injection חדשות מהסוג הזה מגדיל משמעותית את טווח התקיפה של ההאקרים. "ה-AI לא רק ‘נפל בפח’, אלא הוא עשה זאת באופן אוטונומי, בביטחון מלא, וללא נקודות עצירה שהיו מתגלות אם אדם אמיתי היה מעורב בתהליך", מסביר נתי טל, מנהל מחלקת המחקר בחברה. הוא מוסיף כי אנו נכנסים לעידן של "AI-מול-AI", בו תוקפים אינם צריכים לשכנע בני אדם, אלא מספיק להם לפרוץ למודל אחד כדי לשכפל את ההתקפה בהיקפים עצומים.
המסקנה היא שיש לשלב מנגנוני אבטחה חיוניים כבר בשלב הפיתוח של סוכני ה-AI, ולא כתיקון מאוחר. המלצות החוקרים כוללות הטמעת בדיקות פישינג, התראות על התחזות דומיינים וסריקת קבצים זדוניים, בדומה למנגנוני אבטחה הקיימים בדפדפנים עבור בני אדם.
זה גם המקום לציין שאחת הסיבות לבעיות האלה היא המירוץ של חברות הטק לפסגת ה-AI שמתבצעת ללא כל הטמעה מראש של מנגנוני הגנה - קצת בדומה למירוץ הדוט קום שהניב לנו את האינטרנט המחורר שממנו המשתמשים סובלים עד היום.
