- Zenity研究者がPleaseFixを発見。Cometブラウザのゼロクリック間接プロンプトインジェクション脆弱性
- 悪意のあるカレンダー招待は、ユーザーが気づかないうちにAIをだまして、パスワードと機密ファイルを流出させる可能性があります
- file://アクセスの制限により修正。エージェントがローカルファイルシステムを読み取ることを防止
Perplexity の AI搭載ウェブブラウザ「Comet」は間接プロンプトインジェクション攻撃に対して脆弱性があり、脅威行為者がパスワードなどの機密データを流出させるために悪用される可能性があると、専門家が警告しています。
セキュリティ研究者Zenityはこの脆弱性を「PleaseFix」と名付け、それが悪用される可能性のあるさまざまな方法を実証しました。
技術ブログで、Zenityは「PleaseFix」がゼロクリック脆弱性であることを説明しました。つまり、被害者が悪意のあるコマンドやプログラムを実行する必要がないということです。被害者がしなければならないのは、通常通り日常を過ごすことだけです。
ゼロクリック
問題の根本は、AIエージェントがデータと命令を区別できないという事実です。ユーザーがAIに特定のデータセットを読み込んで実行するよう指示し、そのデータセットに独自のプロンプトが含まれている場合、エージェントは被害者に警告せずにそれを実行します。
実際には、Zenityが示したように、次のように機能します。悪意のある行為者は、本物で無害に見えるカレンダー招待を対象に送信できます。カレンダー項目は、通常の電話から就職面接まで、何でもかまいません。被害者が招待をカレンダーに追加し、後でCometに要約するか、準備を手助けするよう求めた場合、AIエージェントはそのコマンドを実行します。カレンダー項目に独自のプロンプトが含まれていても関係ありません。
このシナリオでは、カレンダー項目に、被害者のファイルをすべて検索し、「passwords」という名前のドキュメントなどを探して、見つかった情報を流出させるというプロンプトが含まれていました。別のシナリオは、同じ戦術がパスワードマネージャーに保存されているパスワードを流出させるためにどのように使用できるかを示しています。
この攻撃の最も悪い点は、被害者が気づかないということです。すべてがバックグラウンドで発生し、被害者が予想通りAIが生成した要約を読んでいる間、バックグラウンドではAIが悪意のあるインサイダーに変わり、攻撃者のために機能していました。
Zenityは、責任あるディスクロージャーに従ってバグが修正されたと述べました。
「この修正には、ブラウザがfile://パスに自律的にアクセスする機能を決定的に制限する新しいハード境界が含まれています」と研究者は説明しました。
「これは、ユーザーはこれらのパスにアクセスできるままであるが、エージェントはそうすることが制限されることを意味します。プロンプトや状況がどうであれ、エージェントはfile://で始まるURLをナビゲートまたは操作したり、ユーザーのローカルファイルシステムにアクセスしたりすることはできません。」
もちろん、TechRadarをTikTokでフォローして、ニュース、レビュー、ビデオ形式のアンボックスを見ることもできます。また、WhatsAppからも定期的な更新を受け取ることができます。
