Специалисты представили возможный сценарий атаки, в котором вежливое и логически выстроенное электронное сообщение способно побудить ИИ-ассистента браузера Perplexity Comet полностью очистить чужое хранилище Google Drive. На практике как минимум один подобный инцидент уже зафиксирован.
Аналитики компании Streaker STAR Labs выявили критическую уязвимость в так называемом агентском браузере Perplexity Comet, теоретически позволяющую стереть все данные из аккаунта Google Drive, связанного с этим приложением. Для этого потенциальному злоумышленнику достаточно правильно оформить одно-единственное письмо.
Comet — это браузер, оснащённый функционалом ИИ-помощника, который может решать множество задач: от обработки входящей почты и составления ответов до совершения онлайн-покупок по запросу, а также упорядочивания файлов в Google Drive.
В целом, это может быть весьма удобно. Однако, как обнаружили эксперты, достаточно отправить на почтовый ящик, подключённый к Comet, письмо со скрытыми или завуалированными инструкциями на естественном языке. Например, можно попросить провести плановую реорганизацию данных в Google Drive, удалить файлы с определёнными расширениями или лежащие вне папок, а затем подтвердить все изменения.
Поскольку Comet воспримет такие указания как обычную рабочую задачу, он может удалить всё содержимое Google Drive без ведома и участия владельца.
Стоит учесть, что по умолчанию удаляемые файлы сначала перемещаются в Корзину, которая очищается автоматически лишь через некоторое время. Но теоретически Comet можно также проинструктировать очистить и саму Корзину, что приведёт к окончательному и безвозвратному удалению информации.
Исследователи Straiker STAR Labs подчёркивают: если ИИ-агент Comet имеет доступ к Gmail и Google Drive через OAuth, он с высокой вероятностью выполнит аналогичные инструкции и для всех каталогов с общим доступом, то есть затронет не только личное хранилище пользователя.
Как указано в отчёте STAR Labs, для такой атаки не требуется взламывать систему или внедрять вредоносные запросы: как выяснилось, Comet достаточно буквально «вежливо попросить» выполнить ряд последовательных действий. ИИ-агент выполнит их, не проводя проверок на безопасность.
«Агентские браузеры преобразуют обычные пользовательские запросы в цепочки действий, затрагивающих Gmail и Google Drive», — поясняет исследователь STAR Labs Аманда Руссо (Amanda Rousseau). — «Если эти действия инициируются из ненадёжного источника (особенно если он изложен вежливо и структурированно в письме), организации сталкиваются с новым классом угроз — “вайперами”, не требующими кликов».
Если атака на Comet пока остаётся теоретическим сценарием, то с агентом на базе ИИ от Google подобный случай уже произошёл в реальности.
Программист, работавший в среде Antigravity с интегрированным ИИ-ассистентом, столкнулся с масштабной потерей данных на жестком диске. Искусственный интеллект, получивший задание очистить кэш в определённом каталоге, удалил всё содержимое логического раздела носителя, а затем без ведома ошеломлённого пользователя опустошил корзину. Проанализировав произошедшее, ИИ объяснил сбой «предыдущими операциями» и принёс глубокие извинения, однако восстановить утраченные файлы оказалось невозможным.
«Ключевая проблема — уровень доступа, предоставляемый ИИ-агентам: он должен быть строго ограничен, а любые изменения — легко обратимы. В противном случае такие помощники превращаются в угрозу под маской комфорта, — отмечает Никита Павлов, специалист по кибербезопасности компании SEQ. — Соображения удобства не должны затмевать тот факт, что агентский ИИ — инструмент относительно новый и недостаточно проверенный. Он не заслуживает безоговорочного доверия и тем более — неограниченных прав управления файлами пользователя в любой системе».
Эксперт также подчеркнул, что инцидент с Antigravity демонстрирует: ИИ-агенты способны значительно выходить за рамки полномочий и совершать действия, не санкционированные владельцем: «Будем надеяться, что разработчики ИИ-решений извлекут урок из подобных случаев и внедрят эффективные механизмы контроля для таких агентов».
