Los investigadores de ciberseguridad han revelado detalles de un nuevo ataque llamado Jack de cometas atacar Comet, el navegador de IA de Perplexity, mediante la incorporación de mensajes maliciosos en un enlace aparentemente inocuo para extraer datos confidenciales, incluso de servicios conectados, como el correo electrónico y el calendario.
El astuto ataque de inyección inmediata se desarrolla en forma de un enlace malicioso que, al hacer clic, desencadena un comportamiento inesperado sin que las víctimas lo sepan.
«CometJacking muestra cómo una sola URL convertida en arma puede hacer que un navegador de IA pase de ser un copiloto confiable a convertirse en una amenaza interna», dijo Michelle Levy, directora de investigación de seguridad de LayerX, en un comunicado compartido con The Hacker News.
«No se trata solo de robar datos; se trata de secuestrar al agente que ya tiene las claves. Nuestra investigación demuestra que la ofuscación trivial puede eludir las comprobaciones de exfiltración de datos y sacar los datos del correo electrónico, el calendario y los conectores de la caja con un solo clic. Los navegadores nativos de la IA necesitan un diseño seguro para las instrucciones de los agentes y el acceso a la memoria, no solo para el contenido de las páginas».
El ataque, en pocas palabras, secuestra el asistente de inteligencia artificial integrado en el navegador para robar datos, al tiempo que elude las protecciones de datos de Perplexity mediante trucos triviales de codificación en Base64. El ataque no incluye ningún componente de robo de credenciales porque el navegador ya tiene acceso autorizado a Gmail, Calendar y otros servicios conectados.
Se lleva a cabo en cinco pasos y se activa cuando la víctima hace clic en una URL especialmente diseñada, ya sea enviada en un correo electrónico de suplantación de identidad o presente en una página web. En lugar de llevar al usuario al destino «previsto», la URL indica a la IA del navegador Comet que ejecute un mensaje oculto que captura los datos del usuario de, por ejemplo, Gmail, los ofusca mediante la codificación Base64 y transmite la información a un punto final bajo el control del atacante.
La URL creada es una cadena de consulta dirigida al navegador Comet AI. La instrucción malintencionada se añade mediante el parámetro «recopilación» de la URL, lo que hace que el agente consulte su memoria en lugar de realizar una búsqueda web en tiempo real.
Si bien Perplexity ha clasificado los hallazgos diciendo que «no tienen ningún impacto en la seguridad», una vez más destacan cómo las herramientas nativas de la IA introducen nuevos riesgos de seguridad que pueden eludir las defensas tradicionales, permiten a los delincuentes obligarlos a cumplir sus órdenes y exponen a los usuarios y las organizaciones a posibles robos de datos en el proceso.
En agosto de 2020, Guardio Labs reveló una técnica de ataque denominada Estaflexidad en el que los atacantes podían engañar a navegadores como Comet para que interactuaran con páginas de destino de suplantación de identidad o escaparates de comercio electrónico falsificados sin el conocimiento o la intervención del usuario humano.
«Los navegadores de IA son el próximo campo de batalla empresarial», dijo Or Eshed, director ejecutivo de LayerX. «Cuando un atacante puede dirigir a tu asistente con un enlace, el navegador se convierte en un punto de mando y control dentro del perímetro de la empresa. Las organizaciones deben evaluar urgentemente los controles que detectan y neutralizan las indicaciones de los agentes malintencionados antes de que estas POC se conviertan en campañas generalizadas».