x
محتوای اختصاصی کاربران ویژهورود به سایت

فراموشی رمز عبور

با شبکه های اجتماعی وارد شوید

ورود با گوگل
ورود با توییتر

عضو نیستید؟ عضو شوید

ثبت نام سایت

با شبکه های اجتماعی وارد شوید

ورود با گوگل
ورود با توییتر

عضو نیستید؟ وارد شوید

فراموشی رمز عبور

وارد شوید یا عضو شوید

جشنواره نوروزی آنر

فناوری

کشف نقص‌های امنیتی مرورگر جدید اطلس اوپن‌ای‌آی تنها چند ساعت پس از عرضه

مهدی جعفری مترجم

۱ آبان ۱۴۰۴

زمان مطالعه : ۵ دقیقه

کمتر از ۲۴ ساعت پس از عرضه رسمی مرورگر اطلس (Atlas) از سوی شرکت اوپن‌ای‌آی، پژوهشگران امنیت سایبری توانسته‌اند آسیب‌پذیری‌های جدی را در این مرورگر کشف کنند. متخصصان معتقدند که کشف چنین نقص‌هایی که نگاه بسیاری غیرقابل مهار است، سطح جدیدی از خطرات امنیتی در مرورگرهای مجهز را به نمایش می‌کشد و خطراتی که سامانه‌های محافظت سنتی وب قادر به مقابله با آن نیستند.

به گزارش پیوست، در این حملات پژوهشگران شرکت Brave، مالک یکی از مرورگر‌های محبوب اینترنت و پژوهشگران مستقل توانستند با تزریق دستور‌ها، عامل هوش مصنوعی را به اقدامات مخرب مجاب کنند.

کشف فوری آسیب‌پذیری‌ تنها چند ساعت پس از عرضه

این مرورگر که در تاریخ ۲۱ اکتبر ۲۰۲۵ در اختیار کاربران سیستم‌عامل مک قرار گرفت، خیلی زود هدف حمله‌ پژوهشگرانی شد که به دنبال کشف نقاط ضعف این ابزار جدید بودند. یکی از کاربران توییتر با نام کاربری @elder_plinius موفق شد حمله‌ای موسوم به clipboard injection یا تزریق کلیپ‌بورد را به اجرا بگذارد که براساس آن بخش عاملیت اطلس یا Atlas Agent بدون اطلاع کاربر، لینک‌های فیشینگ مخرب را کپی کرد.

پژوهشگران شرکت Brave Software نیز طبق گزارشی که طی پستی در وبلاگ این شرکت منتشر شده است، به صورت جداگانه توضیح دادند که مرورگرهای هوش مصنوعی مانند اطلس در برابر نوعی از حمله به نام prompt injection آسیب‌پذیرند. این روش که براساس آن دستورهای مخفی در محتوای صفحات وب گنجانده می‌شوند تا دستیار هوش مصنوعی را وادار به اجرای فرامین ناخواسته کند، پیش از این هم در رابطه با عامل‌های هوش مصنوعی دیگر به کار رفته و موجب نگرانی شده بود.

به گفته‌ی شیوان کول صاحب، معاون حریم خصوصی و امنیت Brave، زمانی که دستیار هوش مصنوعی به دستورهای مخرب موجود در یک صفحه‌ی ناشناس پاسخ دهد، «سیاست‌های امنیتی سنتی مانند same-origin policy و CORS عملا بی‌اثر می‌شوند.»

مهاجمان در این آزمایش‌ها توانستند دستورهای پنهان را از طریق متن سفید روی زمینه سفید، توضیحات HTML، یا حتی پیکسل‌های مخفی در تصاویر درون صفحات جای‌گذاری کرده و در ننتیجه به عامل هوش مصنوعی منتقل کنند. در یکی از نمونه‌ها، دستورهای مخفی که در یک اظهارنظر در شبکه اجتماعی Reddit گنجانده شده بود باعث شد تا مرورگر به صفحه حساب کاربری وارد شود، آدرس ایمیل‌ها را استخراج کند، به حساب Gmail دسترسی بگیرد و سپس اطلاعات حساس را در قالب نظر منتشر کند.

اذعان اوپن‌ای‌آی به احتمال وجود خطر

طبق گزارشی از پی‌سی‌مگ، دین استاکی، مدیر امنیت اطلاعات اوپن‌ای‌آی، در واکنش به نگرانی‌ها اذعان کرد که عامل ChatGPT «هنوز ممکن است اشتباهات غیرمنتظره‌ای را مرتکب شود و برای خرید اشتباه یا اقدام بدون تایید کاربر» اقدام کند.

او همچنین تاکید کرد که عامل‌های هوش مصنوعی از جمله عامل ساخته اوپن‌ای‌آی در برابر «دستورهای مخرب پنهان در صفحات وب یا ایمیل‌ها» آسیب‌پذیر هستند و این دستورها می‌توانند رفتار پیش‌فرض عامل را تغییر دهند. البته که این آسیب پذیری تنها محدود به مرورگر اوپن‌ای‌آی نیست و نمونه‌های دیگری چون Comet پرپلکسیتی را نیز در بر می‌گیرد.

در مستندات رسمی اوپن‌ای‌آی نیز تصریح شده است که چنین حملاتی ممکن است منجر به سرقت داده‌ها از وب‌سایت‌هایی که کاربر در آن‌ها وارد شده یا انجام اقداماتی ناخواسته به جای کاربر شوند.

به گفته‌ی این شرکت، برای کاهش خطرات، محدودیت‌هایی در نظر گرفته شده که برای مثال می‌توان به اجازه فعالیت عامل فقط در زبانه فعال مرورگر و نیاز به تایید کاربر برای انجام اقدامات حساس اشاره کرد و این محدودیت به ویژه برای سایت‌های مالی در نظر گرفته شده است.

کارشناسان می‌گویند مهار این خطرات تقریبا غیرممکن است

سایمون ویلیسون، پژوهشگر امنیتی و برنامه‌نویس بریتانیایی، در یک پست وبلاگی ریسک‌های حریم خصوصی و امنیتی مرورگر اطلس را «به ظاهر غیرقابل مهار» توصیف کرده است. او همچنین به عدم ارائه توضیحات کافی شرکت‌ها درمورد نحوه‌ دفاع مرورگر در برابر حملات prompt injection انتقاد دارد.

ویلیسون می‌گوید: «در حال حاضر، به نظر می‌رسد تنها راه‌حل موجود این است که کاربر دائما رفتار عامل هوش مصنوعی را زیر نظر بگیرد.» این در حالی است که کاربرد عامل هوش مصنوعی در فعالیت مستقل از کاربر است و در صورت نظارت بر عملکرد آن در واقع بهره‌ای برای کاربر نخواهد داشت.

افزون بر این، قابلیت Memories یا حافظه مرورگر که سابقه مرور کاربر را برای پیشنهادهای شخصی ذخیره می‌کند هم باعث نگرانی‌های جدی در زمینه حریم خصوصی شده است. به گفته کارشناسان، این ویژگی که به نظر یکی از اولویت‌های مرورگر اوپن‌ای‌آی است و شرکت می‌گوید در آینده نحوه شخصی‌سازی از این طریق را بهبود می‌بخشد، نوعی نظارت کامل بر رفتار کاربر است و سطح عجیبی از جمع‌آوری داده را ممکن می‌سازد که حتی فراتر از مرورگر‌های سنتی یعنی گوگل کرومی است که سال‌ها هدف نقد حامیان حریم خصوصی قرار داشتند. هوش مصنوعی در مرورگر مبتنی بر AI می‌تواند از تعاملات کاربر و داده‌های شخصی در یک محیط واحد و به صورت ترکیبی کمک بگیرد که نقض حریم خصوصی را تشدید می‌کند.

گرچه مرورگر اطلس اوپن‌ای‌آی در حال حاضر فقط برای سیستم‌عامل macOS عرضه شده است، اما شرکت اعلام کرده که به زودی نسخه‌های ویندوز، iOS و اندروید این مرورگر را نیز منتشر خواهد کرد و با توجه به شهرت جهانی اوپن‌ای‌آی، کاربران بالقوه زیادی برای این مرورگر پیش‌بینی می‌شود. با این حال حالت عامل محور این ابزار در حال حاضر تنها برای کاربران ChatGPT Plus و Pro فعال شده است.

 

این مطالب را هم بخوانید:

اوپن‌ای‌آی با معرفی مرورگر Atlas بار دیگر گوگل را نشانه گرفت: مرور تعاملی در کنار هوش مصنوعی

https://pvst.ir/mpi
این مطالب را هم بخوانید:

0 نظر

ارسال دیدگاه

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

*

درباره پیوست بیشتر بدانید

شما در حال مطالعه وبسایت ماهنامه پیوست هستید.

برای بوکمارک این نوشته
Back To Top
جستجو