Brave Software đã phát hiện ra một lỗ hổng bảo mật trong trình duyệt Comet của Perplexity AI, cho thấy kẻ tấn công có thể lừa trợ lý AI này làm rò rỉ dữ liệu riêng tư của người dùng.
Trong bản demo chứng minh khái niệm được công bố ngày 20 tháng 8, các nhà nghiên cứu của Brave đã phát hiện ra các lệnh ẩn bên trong một bình luận trên Reddit. Khi trợ lý AI của Comet được yêu cầu tóm tắt trang, nó không chỉ tóm tắt mà còn làm theo các lệnh ẩn.
Perplexity đã bác bỏ mức độ nghiêm trọng của phát hiện này. Một phát ngôn viên nói với Decrypt rằng vấn đề "đã được vá trước khi ai đó phát hiện" và cho biết không có dữ liệu người dùng nào bị xâm phạm. "Chúng tôi có một chương trình tiền thưởng khá mạnh mẽ", người phát ngôn nói thêm. "Chúng tôi đã làm việc trực tiếp với Brave để xác định và khắc phục sự cố."
Brave, công ty đang phát triển trình duyệt agentic của riêng mình, khẳng định rằng lỗ hổng vẫn có thể khai thác nhiều tuần sau khi vá lỗi và lập luận rằng thiết kế của Comet khiến nó dễ bị tấn công hơn.
Brave cho biết lỗ hổng này liên quan đến cách các trình duyệt agentic như Comet xử lý nội dung web. "Khi người dùng yêu cầu Comet tóm tắt một trang, Comet sẽ đưa một phần của trang đó trực tiếp vào mô hình ngôn ngữ của nó mà không phân biệt giữa lệnh của người dùng và nội dung không đáng tin cậy", báo cáo giải thích. "Điều này cho phép kẻ tấn công nhúng các lệnh ẩn mà AI sẽ thực thi như thể chúng đến từ người dùng."
Tiêm nhắc lại: ý tưởng cũ, mục tiêu mới
Kiểu khai thác này được gọi là tấn công tiêm mã nhanh. Thay vì lừa người dùng, nó lừa hệ thống AI bằng cách ẩn các lệnh dưới dạng văn bản thuần túy.
"Nó tương tự như các cuộc tấn công tiêm mã độc truyền thống—tiêm SQL, tiêm LDAP, tiêm lệnh", Matthew Mullins, hacker trưởng tại Reveal Security , nói với Decrypt . "Khái niệm này không mới, nhưng phương pháp thì khác. Bạn đang khai thác ngôn ngữ tự nhiên thay vì mã có cấu trúc."
Các nhà nghiên cứu bảo mật đã cảnh báo trong nhiều tháng rằng việc tiêm mã độc tức thời có thể trở thành một vấn đề nan giải khi các hệ thống AI ngày càng có nhiều quyền tự chủ hơn. Vào tháng 5, các nhà nghiên cứu tại Princeton đã chỉ ra cách các tác nhân AI mã hóa có thể bị thao túng bằng các cuộc tấn công "tiêm mã hóa bộ nhớ", trong đó thông tin độc hại được lưu trữ trong bộ nhớ của AI và sau đó hoạt động như thể nó là thật.
Ngay cả Simon Willison, nhà phát triển được cho là đã đặt ra thuật ngữ "prompt injection" , cũng cho biết vấn đề này không chỉ giới hạn ở Comet. "Đội ngũ bảo mật Brave đã báo cáo các lỗ hổng bảo mật nghiêm trọng trong tính năng này, nhưng Brave cũng đang phát triển một tính năng tương tự, và dường như chắc chắn sẽ gặp phải những vấn đề tương tự", anh đăng trên X.
Shivan Sahib, phó chủ tịch phụ trách quyền riêng tư và bảo mật của Brave, cho biết trình duyệt sắp ra mắt của họ sẽ bao gồm "một bộ biện pháp giảm thiểu giúp giảm thiểu nguy cơ bị tấn công gián tiếp".
"Chúng tôi đang lên kế hoạch cô lập trình duyệt agentic vào vùng lưu trữ và phiên duyệt riêng, để người dùng không vô tình cấp quyền truy cập vào dữ liệu ngân hàng và các dữ liệu nhạy cảm khác của họ cho agent", ông nói với Decrypt . "Chúng tôi sẽ sớm chia sẻ thêm chi tiết."
Rủi ro lớn hơn
Bản demo Comet nêu bật một vấn đề rộng hơn: các tác nhân AI đang được triển khai với quyền hạn mạnh mẽ nhưng lại thiếu kiểm soát bảo mật. Do các mô hình ngôn ngữ lớn có thể hiểu sai hướng dẫn—hoặc tuân theo chúng quá sát nghĩa—nên chúng đặc biệt dễ bị tấn công bởi các lời nhắc ẩn.
“Những mô hình này có thể gây ảo giác,” Mullins cảnh báo. “Chúng có thể hoàn toàn đi chệch hướng, chẳng hạn như hỏi, 'Vị Twizzler yêu thích của bạn là gì?' và nhận được hướng dẫn chế tạo súng tự chế.”
Với việc các tác nhân AI được cấp quyền truy cập trực tiếp vào email, tệp và phiên làm việc trực tiếp của người dùng, rủi ro rất cao. "Ai cũng muốn đưa AI vào mọi thứ", Mullins nói. "Nhưng không ai kiểm tra xem mô hình có những quyền gì, hay điều gì sẽ xảy ra khi nó bị rò rỉ."
