חוקרי אבטחה של חברת זניטי, חברת סייבר ישראלית המתמחה באבטחת מערכות AI ארגוניות, גילו באוקטובר האחרון כי Comet, דפדפן ה-AI של Perplexity, הותיר את מערכת הקבצים המקומית במחשבי המשתמשים ללא הגנה מספקת. לפי החוקרים, המשמעות הייתה שתוקפים יכלו לגנוב קבצים מהמחשב של משתמשי Comet באמצעות שיטה פשוטה יחסית: יצירת הזמנה זדונית לאירוע בלוח השנה ושליחתה למשתמש, כאשר בתוך ההזמנה הוטמעו הוראות שמטרתן לשאוב מידע מהמחשב של אותו משתמש.
סתיו כהן, חוקר אבטחת AI בכיר מסביר כיצד נחשפו חולשות האבטחה.
בחודשים האחרונים דובר רבות על המהפכה של דפדפני ה-AI, אך נראה שבפועל שימושם מיושם באופן מתון יחסית. האם נצפתה עלייה בשימוש בדפדפנים הללו? ומה ההבדל המרכזי בינם לבין הדפדפנים המסורתיים שרובנו משתמשים בהם כיום?
"דפדפני AI באמת נכנסים במהירות רבה, כאשר ,Perplexity, OpenAI Claude ו- ,Microsoft עומלים על הטמעת יכולות אלה למוצרים שלהם. השימוש בהם מתגבר ונהיה יעיל ומהיר יותר", מסביר לנו כהן. "כולם שואפים לעוד יעילות, והחלום שסוכני בינה מלאכותית (AI Agents) יוכלו לעשות במקומנו פעולות בדפדפן ולחסוך זמן יקר נשמע מדהים. הפער בין דפדפן רגיל לדפדפן AI הוא פשוט אבל מהותי. דפדפן רגיל מציג דפי אינטרנט ומחכה שהמשתמש ילחץ, יקליד וינווט בעצמו, כלומר - הוא פסיבי. לעומת זאת, דפדפן AI הוא אקטיבי: פועל בו סוכן AI שאיתו ניתן לתקשר בצ'אט בשפה טבעית. הסוכן מבין את הבקשה, מתכנן את הצעדים הדרושים ומבצע אותם בעצמו".
המשמעות היא, שאנחנו המשתמשים, נוכל לתקשר עם הדפדפן כפי שאנו מתקשרים אחד עם השנייה, ממש כמו השיחות שאנחנו מנהלים עם ChatGPT, רק שבמקום לעצור בנקודה שבה הוא רק מספק תשובות או המלצות - הדפדפן יבצע את הפעולות עבורנו.
"הדפדפן יכול ללחוץ על כפתורים, למלא טפסים, לעבור בין אתרים ולקרוא תוכן, ולמעשה לפעול בדיוק כמו המשתמש", ממשיך כהן. "אך היכולת הזו מערערת את מודל האבטחה הבסיסי של הדפדפנים, שלפיו גלישה באתר אחד אינה אמורה להשפיע על אתר אחר. ככל שהדפדפנים הללו משתפרים, ניתן להטיל עליהם משימות מורכבות יותר: למשל לבקש מהם לחפש כרטיסי טיסה לחו"ל, לאתר את התאריכים והמחירים הטובים ביותר ולסכם את האפשרויות. הסוכן ידפדף בין אתרים, יבצע השוואות מחירים ויחזור עם התוצאות. בנוסף, ניתן להמשיך ולבקש ממנו להשלים את ההזמנה ולמלא את כל הפרטים בעצמו. בדיוק כאן טמון הסיכון: כאשר הפעולות כבר אינן מתבצעות באמצעות הקלקה ישירה של המשתמש, אלא לפי הפרשנות של סוכן ה-AI לבקשה, נפתח חלון הזדמנויות חדש לחלוטין עבור תוקפים".
ציינתם שפיתחת כלי שאמור לתקוף או להוכיח שחולשת האבטחה שנחשפה ב-Comet קיימת גם בשאר הדפדפנים הפופולריים שנמצאים בשימוש נרחב. מה יש בבסיס הדפדפנים הללו שמאפשר לייצר כלי כזה?
"הנקודה הקריטית היא שאנחנו לא מנצלים באג ספציפי בקוד של Comet. אנחנו מנצלים את הסוכן שנמצא בבסיס של כל דפדפן AI. כל דפדפן כזה פועל באופן דומה: הוא מקבל בקשה מהמשתמש, מפרש אותה, קורא תוכן מהאינטרנט ואז מבצע פעולות. הבעיה היא שתוקף יכול להחביא פקודות זדוניות בתוך תוכן אינטרנטי שנראה לגמרי רגיל , למשל אתר, מייל, הזמנה ליומן או מסמך. ברגע שסוכן ה-AI קורא את התוכן הזה כחלק מהפעילות הרגילה שלו, הוא עלול לפרש את ההוראות הזדוניות כחלק מהמשימה שהמשתמש ביקש לבצע. ב־Zenity פיתחנו שיטה שנקראת Intent Collision. לפי הגישה הזו, התוקף לא צריך לפרוץ למערכת, אלא לגרום לסוכן ה-AI להאמין שמה שהתוקף רוצה לבצע הוא בעצם מה שהמשתמש ביקש. זו למעשה סוג של הנדסה חברתית, רק שהפעם המטרה היא לא אדם אלא סוכן AI. וזה עובד על כל דפדפן AI, משום שמדובר בבעיה מבנית בארכיטקטורה, ולא בבאג נקודתי במוצר אחד".
אילו מניפולציות ניתן לעשות באמצעות שיטת התקיפה הזו?
"כפי שציינתי, אנחנו הדגמנו כיצד סוכן AI מקבל מהמשתמש בקשה שגרתית, למשל לאשר פגישה בלוח השנה, משהו שכולנו מקבלים לעיתים כמה פעמים ביום. אך הפעם, בעקבות תוכן זדוני שהוסתר בתיאור הפגישה, הסוכן מזהה פקודה שבעקבותיה הוא נכנס למערכת הקבצים במחשב האישי של המשתמש, מאתר קבצים רגישים ושולח אותם לתוקף. לאחר מכן הוא ממשיך בפעולה המקורית ומאשר את הפגישה, כאילו דבר לא קרה".
אז מבחינת משתמש הקצה, הסוכן שלו ביצע בשמו פעולה יום יומית, ואין לו מושג שמישהו חיצוני שותל אצלו פקודות זדוניות מאחורי הקלעים?
"בדיוק. ובנוסף לכך, הראינו כיצד ניתן להדליף סיסמאות ממנהל הסיסמאות 1Password, ואף לאפשר לתוקף להשתלט לחלוטין על חשבון הקורבן: לשנות את הסיסמה הראשית, לחלץ את ה‑Secret Key ולנעול את המשתמש מחוץ לחשבון מבלי שתהיה לו אפשרות לגשת אליו. באותה שיטה בדיוק ניתן היה להפעיל כל פעולה שדפדפן AI מסוגל לבצע עבור המשתמש, רק הפעם נגדו. דוגמאות נוספות לכך ייחשפו בהמשך, אנחנו רוצים להשאיר לכם טעם של עוד".
סתיו מדגיש כי התקיפות הספציפיות ש-Zenity הדגימה על Comer כבר לא אפשריות, אך זה לא אומר שכעת הדפדפן חסין לתקיפות. "Perplexity ו-1Password שיתפו פעולה וביצעו שינויים, אבל חשוב להבין שהבעיה הבסיסית לא נפתרה, ולא רק אצלם, בכל התעשייה. הרעיון שתוקף יכול להחביא הוראות זדוניות בתוכן אינטרנטי ולגרום לסוכן AI לבצע אותן, זה אתגר פתוח שאף אחד בעולם עדיין לא פתר. מה שתיקנו זה ווקטורי תקיפה ספציפיים. אבל טכניקות חדשות יתגלו, וזה בעצם משחק חתול ועכבר מתמשך".
תמיר ישי שרבט, חוקר אבטחה ומהנדס תוכנה ב-Zenity, מסביר כי כאשר פנו ל-Perplexity , נציגי החברה יצרו קשר ישיר ועבדו לצד Zenity על מנת להבין מהי הדרך הטובה והיעילה ביותר למנוע את סוג ההתקפות האלה, והחשיפות שלהם הובילו לכך שהחברה ממש שינתה פיצ'רים מהותיים בדפדפן שפיתחה.
"בהמשך לחולשות שחשפנו, Perplexity חסמה לחלוטין את הגישה של דפדפן ה-AI שלה לקבצים האישיים של המשתמשים ששמורים על המחשב, ובכך מנעה את ההתקפה שהייתה מדליפה מידע ממערכת הקבצים. בנוסף, הם הוסיפו אפשרות לכל משתמש להגדיר אתרים מסוימים שבהם סוכן ה-AI לא יוכל לפעול, מה שמונע התקפות דומות על אתרים רגישים, למשל אתרים שבהם תוקפים עלולים להשפיע על הדפדפן כדי להדליף מיילים או מידע אחר".
האם המשתמשים צריכים להימנע מלהשתמש בדפדפנים האלו?
"ההמלצה המרכזית שלנו למשתמשים היא פשוט להיות מודעים לסיכונים. העובדה שאתם קוראים את הכתבה הזו כבר מהווה התחלה טובה. בסופו של יום, מדובר בסיכונים שאנחנו בוחרים לקחת על עצמנו לטובת שיפור איכות החיים של עצמנו באמצעות שימוש בכלי ה-AI שהם מאד משמעותיים כיום. ההמלצה השנייה היא לוודא שאתם משתמשים בפיצ'רים המשפרים את האבטחה במוצרים אלו. כפי שציינתי, אנחנו עבדנו צמוד עם בכירים מ-Perplexity כדי לוודא שהתווספו הגדרות אבטחה שמאפשרות למשתמשים להתאים את הדפדפן להעדפותיהם" מסביר תמיר.
"בסוף, המטרה היא לסייע למשתמשים להגן על עצמם ולהפחית את הסיכון. אבל עדיין חשוב לציין שהגדרות אלו דורשות הפעלה ידנית: מי שלא מודע לסיכון ולא משנה את ההגדרות, נשאר חשוף לאותם סיכונים שהראנו במחקר".
לפי החוקרים של זניטי, על המשתמשים להיות אקטיביים כשזה מגיע לאבטחת המידע שלהם, ועליהם לשים לב לאילו אתרים הם מתחברים בתוך דפדפני AI. אם החלטנו לאפשר לסוכן ה-AI לקבל גישה למייל שלנו, החלטה שיכולה לשפר את חיינו משמעותית, או אם חיברנו אותו לרשתות החברתיות שלנו כמו לינקדאין או X, זה אומר שתהיה לדפדפן גישה אקטיבית לפרופילים ולמיילים שלנו, והוא יוכל לנקוט במהלכים מסוימים בשמינו.
"קשה לצפות באילו פעולות הוא ינקוט תחת זהות המשתמש" מוסיף ישי שרבט. "התכונה הזו הופכת את החיבור לחשבונות ארגוניים למסוכן אף יותר, כיוון שהיא עלולה להציב את כל הארגון בסיכון. לכן, עדיף לוודא שאנו מחברים את הסוכן רק לאתרים החיוניים ביותר ולעשות זאת במודעות מלאה ובאחריות".
זוהי לא החשיפה הראשונה שלכם שהכתבה גלים. באוגוסט שעבר חשפתם פירצה ראשונה מסוגה ב-ChatGPT ומנועים נוספים. מה מניע אתכם לאתר עוד כאלו כל הזמן ומדוע אנו לא רואים המון חשיפות מוצלחות כאלו מחברות נוספות?
"בסוף היום, אני מאמין שפשוט מאוד אכפת לנו, הצוות מלא תשוקה, הוא קם כדי לדחוף את ההבנה שלנו לגבי הסיכונים הכרוכים בשימוש ב- AI כל יום. נכנסנו לעולם של AI Security מאוד מוקדם ביחס למתחרים, יש לנו קשרים עמוקים עם קהילת המחקר הגלובלית, ופיתחנו מומחיות ונקודת הסתכלות שהופכת את הסכנות האלה למאוד ברורות לנו. אנחנו עובדים עם הלקוחות הגדולים בעולם, שמאמצים AI במהירות מסחררת. האחריות שלנו היא לשמור עליהם בטוחים ומודעים לסכנות הכרוכות בעידן החדש הזה" מסכם תמיר.