پژوهشگران هشدار دادهاند که نوار آدرس مرورگر اطلس چت جیپیتی ممکن است هدف حملات نفوذ از طریق لینکهای مخرب قرار گیرد.
به گزارش تکراتو و به نقل از scworld، مرورگر اطلس که هفته گذشته توسط اوپنایآی برای macOS عرضه شد، دارای نوار آدرسی است که میتواند هم برای باز کردن وبسایتها و هم برای ارسال دستورات به مدل زبانی چت جیپیتی استفاده شود.
پژوهشگران دریافتند که امکان ایجاد لینکهایی وجود دارد که ظاهرشان شبیه آدرس وب است اما در واقع دستورات متنی را به مدل ارسال میکنند.
این نوع لینکها با تغییرات ظریف، مانند اضافه کردن یک فاصله اضافی بعد از علامت «https:»، باعث میشوند مرورگر آن را به عنوان یک وبسایت واقعی تشخیص ندهد. در نتیجه به جای باز کردن صفحه وب، متن لینک به عنوان دستور برای چت جیپیتی تفسیر میشود.
به گفته NeuralTrust، کاربر ممکن است فریب بخورد و لینک دستکاریشده را کپی و در مرورگر وارد کند، بدون آنکه متوجه شود در انتهای آن دستوراتی پنهان شده است. حتی ممکن است مهاجم لینک را پشت دکمهای با عنوانی مثل «کپی لینک» مخفی کند تا کاربر هیچ شکی نکند.
در صورت سوءاستفاده، این نوع نفوذ میتواند چت جیپیتی را وادار کند تا به طور خودکار تب جدیدی برای یک سایت جعلی مانند صفحه فیشینگ باز کند یا در برنامههای متصل کاربر، مانند Google Drive، اقداماتی خطرناک انجام دهد.
پژوهشگران نمونهای از این حمله را نشان دادهاند که در آن چت جیپیتی اطلس، طبق دستور پنهان در یک لینک ناقص، بهطور خودکار تب جدیدی به وبسایت NeuralTrust باز میکند.
از زمان معرفی مرورگرهای هوش مصنوعی مانند اطلس چت جیپیتی و مرورگر Comet شرکت Perplexity، متخصصان امنیتی در حال بررسی راههای جدیدی هستند که مهاجمان ممکن است برای سوءاستفاده از این ابزارها استفاده کنند.
برای نمونه، شرکت SquareX Labs اخیراً نشان داده که چگونه یک افزونه مرورگر مخرب میتواند نوار جانبی هوش مصنوعی مرورگر Comet را جعل کند و سپس همان حمله آزمایشی را در اطلس هم بازتولید کرده است.
پژوهشگران شرکت LayerX نیز حملهای مفهومی به نام CometJacking طراحی کردهاند که با استفاده از نفوذ دستوری، میتواند دادههای کاربران را از برنامههای متصل در مرورگر Comet استخراج کند.
اوپنایآی در زمان معرفی مرورگر اطلس، به خطرات احتمالی آن اشاره کرده بود؛ از جمله آسیبپذیری در برابر دستورهای پنهان و عملکرد خودکار در سایتهایی که کاربر در آنها وارد حساب خود شده است.
با این حال، این شرکت تأکید کرده که اطلس اجازه اجرای کد، دانلود فایل یا نصب افزونه را به چت جیپیتی نمیدهد.
همچنین این مرورگر هنگام انجام اقدامات حساس، مانند فعالیت در وبسایتهای مالی، مکث میکند تا مطمئن شود کاربر در حال مشاهده است.
کاربران میتوانند از حالت بدون ورود استفاده کنند یا دسترسی چت جیپیتی به سایتها و برنامههای خاص را در اطلس محدود سازند.
