آیا از مرورگرهای مبتنی بر هوش مصنوعی مانند ChatGPT Atlas یا Perplexity Comet استفاده میشود، آن هم در حالی که همه حسابهای کاربری واردشده فعال هستند؟ سپردن خودکارسازی مرور وب به یک مدل زبانی بزرگ (LLM) میتواند بیسروصدا همهچیز را در معرض خطر قرار دهد. در ادامه توضیح داده میشود مرورگرهای هوش مصنوعی چگونه هک میشوند و چرا آنتیویروسها در برابر این تهدیدات ناتواناند.
چه چیزی مرورگرهای هوش مصنوعی را ذاتاً ناامن میکند؟
در زمان نگارش این مطلب، مرورگرهای هوش مصنوعی به دلیل سه ریسک امنیتی اصلی ذاتاً ناامن هستند:
- تزریق پرامپتهایی که از دستورهای کاربر عبور میکنند
- قابلیتهای عاملمحور (Agentic) که به تبهای جداگانه محدود نیستند
- رفتار دادهمحور و حریصانه این مرورگرها در جمعآوری اطلاعات
در ادامه، هر یک از این موارد و دلیل نگرانیزا بودن آنها بررسی میشود.
تزریق پرامپتهایی که دستورهای کاربر را دور میزنند
تزریق پرامپت به دستورهای مخربی گفته میشود که در ظاهر شبیه درخواستهای عادی هستند، اما با هدف واداشتن هوش مصنوعی به افشای دادههای حساس یا انجام اقدامات ناخواسته طراحی شدهاند. مدل زبانی بزرگی که موتور مرورگر هوش مصنوعی را تشکیل میدهد، نمیتواند بهطور قابلاعتماد تفاوت بین دستورهای کاربر و محتوای وب را تشخیص دهد. در نتیجه، مهاجم میتواند دستورهایی را در محتوای یک صفحه وب پنهان کند و زمانی که مرورگر هوش مصنوعی آن صفحه را تحلیل یا خلاصه میکند، این دستورها بهاشتباه بهعنوان فرمان کاربر اجرا شوند.
چنین سناریویی زمانی رخ داد که تیم تحقیقاتی مرورگر Brave، مرورگر Comet متعلق به Perplexity را آزمایش کرد. از این مرورگر خواسته شد یک بحث در Reddit را خلاصه کند، اما یکی از نظرات حاوی دستور مخرب پنهان بود. هوش مصنوعی آن دستور را معتبر تلقی کرد و شروع به انتشار ایمیل و رمز یکبارمصرف کاربر در همان بحث Reddit کرد.
قابلیتهای عاملمحور، مدلهای امنیتی سنتی را در هم میشکنند
در مرورگرهای سنتی، اگر چند تب باز باشد و یکی از آنها به یک وبسایت مخرب تعلق داشته باشد، بهطور خودکار به اطلاعات تبهای دیگر دسترسی ندارد. اما مرورگرهای هوش مصنوعی دارای قابلیتهای عاملمحور هستند که به آنها اجازه میدهد اطلاعات را بین تبها جابهجا کنند.
اگر یک دامنه آلوده با استفاده از تزریق پرامپت کنترل مدل زبانی را به دست بگیرد، میتواند هوش مصنوعی را مجبور کند به تمام تبها و حسابهای واردشده دسترسی پیدا کند و روی همه آنها اقدام انجام دهد. در این حالت، یک حمله موفق میتواند بهصورت زنجیرهای کل نشست مرور کاربر را درگیر کند.
مرورگرهای هوش مصنوعی دادههای حساس بیش از حد جمعآوری میکنند
برای ارائه تجربهای راحتتر، بسیاری از مرورگرهای هوش مصنوعی درباره کاربر «یاد میگیرند»؛ برای مثال، قابلیت حافظه مرورگر در ChatGPT Atlas. این ویژگیها امکان پیشنهاد بهتر یا اجرای دستورات کوتاهتر را فراهم میکنند، اما اگر هوش مصنوعی از طریق تزریق پرامپت به خطر بیفتد، همه این اطلاعات میتواند افشا شود.
سالها هکرها تلاش میکردند انسانها را با فیشینگ یا مهندسی اجتماعی فریب دهند تا اطلاعات ورود خود را بدهند. اکنون هدف تغییر کرده است: کافی است هوش مصنوعی متقاعد شود تا دادههای حساس را افشا کند. بخش نگرانکننده ماجرا این است که هوش مصنوعی در تشخیص اینکه با چه کسی صحبت میکند، چندان قابلاعتماد نیست.
رایجترین روشهای هک مرورگرهای هوش مصنوعی
همانطور که اشاره شد، بزرگترین خطر مرورگرهای هوش مصنوعی از تزریق پرامپت ناشی میشود. برخی از این دستورها آشکار هستند، اما حملات مؤثرتر آنها را به شکلی پنهان میکنند که کاربران هرگز به وجودشان شک نکنند. رایجترین روشها عبارتاند از:
پنهانکردن دستورها در متنی که دیده یا خوانده نمیشود
سادهترین راه، مخفیکردن دستورها در بخشهایی از صفحه است که انسانها عملاً نمیتوانند آن را بخوانند، اما هوش مصنوعی میتواند. برای نمونه، میتوان متنی را با شفافیت صفر در HTML قرار داد یا اندازه فونت را بسیار کوچک کرد. این متن برای کاربر نامرئی است، اما مرورگر هوش مصنوعی هنگام تحلیل کد HTML آن را میخواند.
همین روش میتواند در توضیحات تصاویر (alt text) هم بهکار رود. کاربر فقط تصویر را میبیند، اما هوش مصنوعی متن پنهان را میخواند. اگر این دستورها قانعکننده باشند، میتوانند رفتار هوش مصنوعی را بهطور کامل منحرف کنند. حتی گزارش شده که یکی از کاربران با این روش موفق شده با نرخ موفقیت صددرصد ChatGPT Atlas را فریب دهد.
تصاویر و فایلهای PDF این کار را سادهتر میکنند. متن میتواند با ترکیب رنگهایی پنهان شود که برای انسان قابلتشخیص نیست، اما هوش مصنوعی با OCR آن را میخواند. درخواست تحلیل یا خلاصهسازی چنین فایلی میتواند به تزریق پرامپت موفق منجر شود.
تبدیل خود لینکها به دستورهای مخرب
در این روش حتی نیازی به ساخت وبسایت جعلی نیست. دستور مخرب مستقیماً در خود لینک و بهصورت عبارت جستجو پنهان میشود. هنگام کلیک روی لینک، مرورگر هوش مصنوعی آن را بهعنوان درخواست اجرا میکند. از آنجا که دامنه اصلی معتبر به نظر میرسد، بیشتر کاربران به بخش انتهایی لینک توجهی نمیکنند.
پژوهشگران امنیتی LayerX این تکنیک را CometJacking نامگذاری کردهاند؛ روشی که میتواند همراه با فیشینگ ساده، دادههای کاربر را بهطور کامل به خطر بیندازد.
چرا آنتیویروسها نمیتوانند از شما محافظت کنند؟
آنتیویروسها برای شناسایی تهدیدهای شناختهشده طراحی شدهاند: بدافزار، ویروس، اسکریپت مخرب یا رفتارهای مشکوک. اما هک مرورگرهای هوش مصنوعی بر تزریق پرامپت تکیه دارد؛ روشی که بیشتر به مهندسی اجتماعی شباهت دارد تا هک سنتی.
این حملات معمولاً بهطور کامل روی دستگاه کاربر رخ میدهند و شبیه استفاده عادی از مرورگر هستند. هیچ فایل سیستمی مخربی ایجاد نمیشود و لینکها نیز ظاهراً معتبرند. دادهها به این دلیل افشا میشوند که هوش مصنوعی، تحت فرضهای اشتباه، آنها را ارائه میدهد؛ رفتاری که آنتیویروسها نمیتوانند بهطور قابلاعتماد آن را از رفتار عادی تشخیص دهند.
البته آنتیویروسها همچنان در برابر بدافزارهای سنتی مفیدند، اما در برابر حملات تزریق پرامپت کارایی ندارند.
برای ایمنماندن هنگام استفاده از مرورگرهای هوش مصنوعی چه باید کرد؟
هیچ مرورگر هوش مصنوعیای در حال حاضر کاملاً امن نیست. برخی ممکن است سختتر قابلسوءاستفاده باشند، اما مصون نیستند. پژوهشگران Anthropic نیز تأیید کردهاند که تزریق پرامپت یک مشکل واقعی و حلنشده در مرورگرهای عاملمحور است.
ایمنترین رویکرد، استفاده از این مرورگرها بهعنوان ابزارهای آزمایشی است، نه برای کارهای حساس. از انجام فعالیتهایی که شامل دادههای محرمانه، اطلاعات مالی یا حسابهای هویتی هستند، باید پرهیز شود.
در صورت استفاده، بهتر است هیچ حساب کاربریای وارد نشود. بدون ورود به ایمیل، شبکههای اجتماعی یا بانکداری، آسیب بالقوه بسیار محدود میشود. همچنین باید از اشتراکگذاری بیش از حد اطلاعات شخصی با خود هوش مصنوعی اجتناب کرد.
در نهایت، نباید جریانهای عاملمحور را بدون نظارت رها کرد. بررسی مداوم عملکرد هوش مصنوعی، وبسایتهای بازدیدشده و توقف فوری در صورت مشاهده رفتار مشکوک، ضروری است.
