كشفت أبحاث جديدة من شركة Brave Software عن طريقة جديدة يمكن من خلالها استخدام نصوص خفية داخل الصور لخداع متصفح Comet التابع لمنصة Perplexity وتنفيذ أوامر ضارة دون علم المستخدم.
الفكرة الأساسية أن المتصفحات المدعومة بالذكاء الاصطناعي – التي يُفترض أنها أكثر ذكاءً وأمانًا – قد تُستخدم أحيانًا كسلاح ضد المستخدم نفسه. البحث الجديد من Brave جاء في نفس اليوم الذي أعلنت فيه OpenAI عن متصفحها الجديد ChatGPT Atlas، ليكشف عن ثغرة خطيرة من نوع Prompt Injection، وهي هجمة تعتمد على تمرير أوامر خبيثة مخفية داخل البيانات التي يتعامل معها الذكاء الاصطناعي، مثل مواقع الويب أو الصور.
أوضحت Brave أن الهجوم الذي نفذته على متصفح Comet اعتمد على إخفاء أوامر ضارة داخل صورة باستخدام نص أزرق باهت فوق خلفية صفراء، بحيث لا يلاحظها المستخدم. وعند قيام المتصفح بتحليل الصورة، يقوم بقراءة هذه الأوامر وتنفيذها تلقائيًا. في الاختبار العملي، تمكنت Brave من جعل المتصفح ينفذ بعض الأوامر الخفية مثل الوصول إلى بريد المستخدم الإلكتروني وزيارة موقع إلكتروني يسيطر عليه المهاجم.
لم يتوقف الأمر عند متصفح Comet. فقد اكتشفت Brave هجومًا مشابهًا يستهدف متصفح Fellou، حيث يمكن للمهاجمين زرع تعليمات خفية في موقع إلكتروني خبيث. عند زيارة المتصفح لذلك الموقع، يقوم بقراءة التعليمات وتنفيذها، بما في ذلك فتح صندوق بريد المستخدم ونقل عنوان أحدث رسالة إلى موقع يسيطر عليه المهاجم.
ورغم أن متصفح Fellou أظهر مقاومة جزئية لهذه الهجمات، إلا أن Brave أكدت أنه لا يزال يتعامل مع محتوى صفحات الويب كمصدر موثوق، مما يسمح بتمرير بيانات الصفحة إلى نموذج الذكاء الاصطناعي المدمج فيه.
الجانب الإيجابي أن المستخدم يمكنه – في بعض الحالات – ملاحظة الهجوم أثناء تنفيذه وإيقافه يدويًا. لكن Brave حذّرت من أن المشكلة ليست حالة فردية، بل تمثل تحديًا هيكليًا في جميع المتصفحات التي تعتمد على نماذج لغوية ذكية، حيث يمكن لأي موقع أو ملف وسائط أن يصبح وسيلة لهجوم غير مباشر عبر الأوامر المخفية.
ووفقًا لبيان Brave، فإن أخطر ما في هذه الثغرات أن المتصفح الذكي يتصرف نيابةً عن المستخدم وبصلاحياته الكاملة، مما يعني أن موقعًا خبيثًا قد يتمكن من الوصول إلى الحسابات البنكية أو البريد الإلكتروني أو بيانات العمل الحساسة.
طالبت الشركة مطوري المتصفحات الذكية بإضافة طبقات حماية جديدة، مثل فرض الحصول على موافقة صريحة من المستخدم قبل تنفيذ أي إجراء وكيل (Agentic Action) مثل فتح مواقع أو قراءة الرسائل الإلكترونية. وأشارت إلى أن OpenAI وMicrosoft بدأتا بالفعل في تطبيق هذا النوع من القيود جزئيًا ضمن أنظمتهم .
.
وقد أبلغت Brave كلًا من Perplexity وFellou بالثغرات المكتشفة. شركة Perplexity ردت قائلة:
“عملنا مع فريق Brave ضمن برنامج المكافآت الخاص بنا، وتم إصلاح الثغرة ولم يتم استغلالها من أي مستخدم، كما أنها لم تعد قابلة للتكرار.”
لكن Perplexity انتقدت ما وصفته بالمبالغة في تحذيرات Brave، مؤكدة أنها تدعم الشفافية في أبحاث الأمان، وأنها تعتبر نفسها من “الرواد في أبحاث أمن المساعدين الذكيين”.
