Kolejna przeglądarka pełna luk bezpieczeństwa. Uważaj co instalujesz

Eksperci ds. cyberbezpieczeństwa z firm Brave i Guardio ujawnili poważne problemy z bezpieczeństwem w przeglądarce Comet AI, którą firma Perplexity wprowadziła na rynek w lipcu 2024 roku. Przeglądarka, dostępna dla użytkowników planów Pro i Enterprise Pro (czyli płatna), miała oferować "bezpieczeństwo klasy enterprise" i zaawansowane możliwości sztucznej inteligencji.

Główną luką jest sposób, w jaki Comet obsługuje funkcję podsumowywania stron internetowych. Gdy użytkownik prosi o streszczenie zawartości, przeglądarka przekazuje fragmenty strony bezpośrednio do modelu językowego, nie rozróżniając pomiędzy poleceniami użytkownika a potencjalnie złośliwą zawartością ze strony. To pozwala cyberprzestępcom na umieszczanie ukrytych poleceń na stronach internetowych, które AI może interpretować jako instrukcje do wykonania.

Brave zademonstrował praktyczne wykorzystanie tej luki, tworząc złośliwy post na Reddit, który mógł przejąć kontrolę nad kontem Perplexity użytkownika, jeśli ten poprosił o podsumowanie strony. Guardio poszedł dalej, pokazując, że przeglądarka może próbować kupować podejrzane produkty z oszukańczych stron czy wypełniać dane bankowe na phishingowych witrynach.

Comet AI to największe zagrożenie dla bezpieczeństwa w sieci

Szczególnie niepokojące jest to, że użytkownik traci możliwość samodzielnej oceny podejrzanej zawartości - AI podejmuje decyzje za niego, pomijając ludzką intuicję, która zwykle pomaga rozpoznać zagrożenia. Jak zauważają eksperci, tradycyjne mechanizmy bezpieczeństwa internetowego stają się bezużyteczne, gdy AI działający z pełnymi uprawnieniami użytkownika wykonuje złośliwe polecenia.

Sprawa jest tym bardziej niepokojąca, że Perplexity planuje przejęcie przeglądarki Chrome od Google za kwotę dwukrotnie przewyższającą obecną wycenę firmy.