پژوهشگران امنیتی هشدار میدهند که مرورگرها و عوامل مجهز به هوش مصنوعی (AI) از Perplexity، OpenAI و Anthropic با خطرات فزاینده حملات تزریق مخفی و نقض حریم خصوصی مواجه هستند که ممکن است دادههای کاربر را از طریق حسابها و APIهای متصل افشا کند.
مرورگرهای هوش مصنوعی تحت فشار: درخواستهای مخفی وب میتوانند عامل شما و حسابهای متصل را به تصرف درآورند
نویسنده
اشتراک
آسیبپذیریهای مرورگرهای هوش مصنوعی نگرانیهای امنیتی را افزایش میدهد
مرورگرها و عوامل هوش مصنوعی از Perplexity، OpenAI و Anthropic نحوه تعامل کاربران با وب را بازتعریف میکنند—اما کارشناسان میگویند که این راحتی هزینه هایی دارد.
طبق ممیزیهای امنیتی و تحقیقات مورد بررسی، آسیبپذیریها در این سیستمها به عوامل مخرب امکان میدهد دستورهای مخفی را در وبسایتها جاسازی کنند که ابزارهای هوش مصنوعی ممکن است به صورت ناخواسته اجرا کنند.
این حملات، که به عنوان تزریق مخفی یا غیرمستقیم شناخته میشوند، میتوانند عوامل هوش مصنوعی را به انجام اقدامات غیرمجاز وادار کنند—مانند افشای اطلاعات حساس، اجرای کد، یا تغییر مسیر کاربران به سایتهای فیشینگ—بدون رضایت صریح کاربر.
چگونه حملات از عوامل هوش مصنوعی سوءاستفاده میکنند
در سناریوهای تزریق مخفی درخواست، مهاجمان دستورات مخرب را در متن صفحات وب، متادیتا، یا حتی عناصر نامرئی مخفی میکنند. زمانی که هوش مصنوعی آن دادهها را میگیرد، دستورات میتوانند نیت کاربر را نادیده بگیرند و عامل را به انجام اقدامات ناخواسته وادار کنند. آزمونها نشان میدهند که مرورگرهای هوش مصنوعی غیرمحافظتشده تقریباً یک بار در چهار بار در آزمایشات کنترلشده قربانی چنین حقههایی میشوند.
Perplexity، OpenAI، و Anthropic: ریسکهای اساسی شناسایی شده
- مرورگر Comet Perplexity: بررسیهای Brave و Guardio نشان دادند که ابزار میتواند از طریق پستهای Reddit یا سایتهای فیشینگ به اجرای اسکریپتها یا استخراج دادههای کاربر هدایت شود.
- عوامل مرورگر OpenAI: یکپارچه شده در ویژگیهای عامل ChatGPT، نشان داده شد که این عوامل به دلیل درخواستهای مخرب ایمیل و سایتهای وب ریسک دسترسی به حسابهای متصل را دارند.
- افزونه مرورگر Claude Anthropic: آزمونهای تیم قرمز نشان دادند که دستورات مخفی صفحات وب میتوانند کلیکهای خودکار بر روی لینکهای مضر را تحریک کنند.
حوادث مستند و هشدارهای صنعت
پژوهشگران و شرکتهای امنیتی سایبری، از جمله Brave، Guardio و Malwarebytes، یافتههایی منتشر کردهاند که نشان میدهد حتی محتوای آنلاین ساده میتواند عاملهای هوش مصنوعی را به خطر بیندازد. در یک آزمون، یک پست Reddit مرورگر هوش مصنوعی را وادار به اجرای اسکریپتهای فیشینگ کرد. گزارشهای چند نشریه برتر فنی هشدار دادند که این مسائل میتواند به دسترسی غیرمجاز به دادهها یا حتی دزدی مالی منجر شود.
خطرات یکپارچهسازی حسابها
تحلیلگران امنیتی درباره عوامل هوش مصنوعی که به رمزهای عبور یا API متصل هستند هشدار دادهاند. اجازه دادن به چنین یکپارچهسازیهایی میتواند حسابهای ایمیل، درایوهای ابری و پلتفرمهای پرداخت را در معرض خطر قرار دهد. Techcrunch و Cybersecurity Dive هر دو گزارش دادند که عواملی از هوش مصنوعی مجبور به افشای اطلاعات حساس یا دستکاری اطلاعات از طریق دستورات تزریق شده بودهاند.
اقدامات ایمنی پیشنهادی و چشمانداز
متخصصان به کاربران توصیه میکنند که محدودیتهایی بر دسترسی بدهند، از دادن دسترسی به سطح رمز عبور به عوامل هوش مصنوعی خودداری کنند و گزارشهای هوش مصنوعی را برای هرگونه غیرعادی نظارت کنند. به توسعهدهندگان نیز توصیه میشود که سامانههای ایزوله و فیلترهای درخواست پیادهسازی کنند. برخی پژوهشگران حتی توصیه میکنند تا زمانی که ابزارهای هوش مصنوعی تحت حفاظتهای سختتری قرار نگیرند، از مرورگرهای سنتی برای اقدامات حساس استفاده شود.
در حالی که OpenAI، Anthropic و Perplexity احتمالاً از این چالشها آگاهی دارند، حرفهایهای امنیت سایبری هشدار میدهند که مرور هوش مصنوعی همچنان یک منطقه پرخطر در سال 2025 باقی مانده است. همانطور که این شرکتها به تعامل خودکار با وب بیشتر پیشروی میکنند، ناظران صنعت میگویند شفافیت و استانداردهای امنیتی قویتر ضروری هستند پیش از اینکه چنین ابزارهایی به صورت گسترده مورد استفاده قرار گیرند.
پرسش و پاسخ 🧭
- تزریقهای مخفی در مرورگرهای هوش مصنوعی چیست؟
آنها دستورهای مخفی جاسازیشده در محتوای وب هستند که عاملهای هوش مصنوعی را فریب میدهند تا بدون رضایت کاربر اقدامات مضر انجام دهند. - کدام شرکتها ابزارهای هوش مصنوعی تحت تأثیر آسیبپذیریها بودهاند؟
مرورگر Comet از Perplexity، عوامل مرورگر ChatGPT از OpenAI و ویژگیهای مرورگر Claude از Anthropic در گزارشهای اخیر ذکر شدهاند. - چه خطراتی از اتصال عوامل هوش مصنوعی به حسابهای شخصی ناشی میشود؟
اتصال ابزارهای هوش مصنوعی به درایوها، ایمیلها یا APIها میتواند سرقت داده، فیشینگ و دسترسی غیرمجاز به حسابها را امکانپذیر کند. - چگونه کاربران میتوانند از خود در برابر حملات مرورگر هوش مصنوعی محافظت کنند؟
محدود کردن دسترسیها، اجتناب از یکپارچهسازی رمزهای عبور، استفاده از حالتهای ایمن و به روز نگهداشتن مشاورههای امنیتی.
