Специалисты представили возможный сценарий атаки, при котором вежливое и логически выстроенное письмо способно заставить ИИ-ассистента браузера Perplexity Comet полностью очистить чужой Google Drive. На деле как минимум один подобный инцидент уже произошёл.
Аналитики компании Straiker STAR Labs обнаружили критическую уязвимость в так называемом агентском браузере Perplexity Comet, теоретически позволяющую стереть всё содержимое аккаунта Google Drive, связанного с этим обозревателем. Потенциальному злоумышленнику достаточно лишь правильно оформить одно электронное сообщение.
Comet — это браузер, оснащённый функциями искусственного интеллекта, который может решать множество задач: обрабатывать входящую почту, составлять ответы, совершать онлайн-покупки по запросу, упорядочивать файлы в Google Drive и многое другое.
В целом это может быть весьма удобно. Однако, как установили исследователи, достаточно отправить на почтовый ящик, подключённый к Comet, письмо со скрытыми или завуалированными инструкциями на естественном языке. Например, можно попросить провести реорганизацию данных в Google Drive в рамках плановой очистки, удалить файлы с определёнными расширениями или лежащие вне папок, а затем подтвердить все изменения.
Поскольку Comet воспримет такие указания как обычную рабочую задачу, он может удалить все данные из Google Drive без ведома и участия владельца.
Стоит учесть, что по умолчанию удаляемые файлы сначала попадают в Корзину, которая очищается автоматически только через некоторое время. Но теоретически Comet можно также попросить очистить и саму Корзину, что приведёт к окончательному и безвозвратному удалению информации.
Эксперты Straiker STAR Labs отмечают, что если ИИ-агент Comet имеет через OAuth доступ к Gmail и Google Drive, он с высокой вероятностью выполнит те же инструкции и для всех общих папок, то есть затронет не только личное хранилище пользователя.
Как говорится в отчёте STAR Labs, не требуется никакого взлома или внедрения специальных запросов: оказалось, что Comet достаточно — в прямом смысле — вежливо попросить выполнить ряд последовательных действий. Искусственный интеллект выполнит их, не проводя проверки на безопасность.
«Агентские браузеры превращают повседневные запросы пользователей в цепочки действий, имеющих большое значение для работы с Gmail и Google Drive, — поясняет исследователь STAR Labs Аманда Руссо. — Если эти действия определяются недоверенным контентом (особенно изложенным вежливо и в хорошо структурированных письмах), организации сталкиваются с новым классом угроз — “вайперами”, не требующими кликов».
Если атака на Comet пока остаётся теоретическим сценарием, то с агентом на базе ИИ от Google подобный случай уже произошёл в реальности.
Программист, работавший в среде Antigravity с интегрированным ИИ-ассистентом, столкнулся с масштабной потерей данных на жёстком диске. Искусственный интеллект, получивший задание очистить кэш в определённом каталоге, удалил всё содержимое логического раздела носителя, а затем без ведома ошеломлённого владельца опустошил корзину. Проанализировав произошедшее, ИИ объяснил сбой «предыдущими операциями» и принёс глубокие извинения, однако восстановить утраченные файлы оказался не в состоянии.
«Ключевая проблема — уровень доступа, предоставляемый ИИ-агентам: он должен быть строго ограничен, а любые изменения — легко обратимы. В противном случае такие помощники превращаются в угрозу, маскирующуюся под удобство, — отмечает Никита Павлов, специалист по кибербезопасности компании SEQ. — Соображения практичности не должны затмевать тот факт, что агентский ИИ — инструмент относительно новый и недостаточно проверенный. Он не заслуживает безоговорочного доверия и уж тем более — неограниченных прав управления файлами пользователя в любой системе».
Эксперт также подчеркнул, что инцидент с Antigravity демонстрирует: ИИ-агенты способны значительно выходить за рамки полномочий и совершать действия, не санкционированные пользователем: «Будем надеяться, что разработчики ИИ-решений извлекут из подобных случаев правильные уроки и внедрят адекватные механизмы контроля для таких агентов».
