كشفت مختبرات Straiker STAR Labs عن هجوم جديد يستهدف متصفح Comet من شركة Perplexity، قادر على تحويل رسالة بريد إلكتروني عادية إلى عملية مدمّرة تمسح كامل محتوى حساب المستخدم في Google Drive دون أي تدخل منه.
آلية الهجوم عبر البريد الإلكتروني
يعتمد الهجوم على ربط المتصفح بخدمات مثل Gmail وGoogle Drive لأتمتة المهام الروتينية، مثل قراءة الرسائل وتنظيم الملفات والمجلدات أو حذفها. على سبيل المثال، إذا أصدر المستخدم طلبًا بسيطًا مثل: “من فضلك تحقق من بريدي الإلكتروني وأكمل مهام التنظيم الأخيرة”، فإن المتصفح الوكيلي يبدأ بتنفيذ التعليمات تلقائيًا. المهاجمون يستغلون هذا السلوك عبر إرسال رسائل مصممة بعناية تتضمن تعليمات بلغة طبيعية لحذف ملفات معينة أو تنظيمها، فيتعامل الوكيل معها كمهام مشروعة ويقوم بمسح بيانات حقيقية من Drive دون تأكيد المستخدم.
خطورة “الوكيل المفرط” في المتصفحات المدعومة بالذكاء الاصطناعي
الباحثة الأمنية أماندا روسو أوضحت أن هذا السلوك يعكس “وكالة مفرطة” في المساعدات المدعومة بالنماذج اللغوية الكبيرة (LLMs)، حيث تنفذ الأوامر بما يتجاوز طلب المستخدم الصريح. اللافت أن الهجوم لا يعتمد على تقنيات Prompt Injection أو كسر الحماية، بل يحقق هدفه عبر تعليمات مهذبة ومتسلسلة مثل “اعتنِ بهذا” أو “قم بهذا نيابة عني”، ما يدفع النموذج إلى الامتثال دون التحقق من سلامة الخطوات.
مخاطر الانتشار عبر الحسابات المشتركة
بمجرد حصول الوكيل على صلاحيات OAuth للوصول إلى Gmail وGoogle Drive، يمكن للتعليمات الخبيثة أن تنتشر بسرعة عبر المجلدات المشتركة وفرق العمل، ما يحوّل الهجوم إلى ممسحة بيانات واسعة النطاق. هذا يخلق فئة جديدة من المخاطر تُعرف بـ Zero-Click Data Wiper، حيث يُمسح المحتوى بمجرد وصول رسالة بريد مصممة بعناية.
هجوم “HashJack” عبر عناوين URL
إلى جانب ذلك، عرضت شركة Cato Networks هجومًا آخر يستهدف المتصفحات المدعومة بالذكاء الاصطناعي، يُعرف باسم HashJack. يقوم المهاجم بإخفاء تعليمات خبيثة بعد رمز “#” في روابط مواقع شرعية، وبمجرد أن يفتح المستخدم الرابط ويطرح سؤالًا على المتصفح، ينفذ الوكيل التعليمات المخفية. الباحث الأمني فيتالي سيمونوفيتش وصفه بأنه أول هجوم غير مباشر لـ Prompt Injection قادر على استغلال أي موقع شرعي لخداع المساعدات الذكية.
ردود الشركات وتحديثات الحماية
بعد الإفصاح المسؤول، صنّفت Google الهجوم بأنه “سلوك مقصود” ومنخفض الخطورة، بينما أصدرت Perplexity وMicrosoft تحديثات أمنية لمتصفحيهما (Comet v142.0.7444.60 وEdge 142.0.3595.94). في المقابل، تبيّن أن Claude for Chrome وOpenAI Atlas غير متأثرين بالهجوم.
