Comet, trình duyệt web mới hỗ trợ AI của Perplexity, gần đây đã gặp phải một lỗ hổng bảo mật nghiêm trọng, theo một bài đăng trên blog tuần trước từ Brave, một công ty trình duyệt web đối thủ. Lỗ hổng này đã được khắc phục, nhưng nó cho thấy những thách thức khi tích hợp các mô hình ngôn ngữ lớn vào trình duyệt web.

Không giống như các trình duyệt web truyền thống, Comet có tích hợp trợ lý AI. Trợ lý này có thể quét trang bạn đang xem, tóm tắt nội dung hoặc thực hiện các tác vụ cho bạn. Vấn đề là trợ lý AI của Comet được xây dựng trên cùng công nghệ với các chatbot AI khác, như ChatGPT. 

Các chatbot AI không thể suy nghĩ và lập luận như con người, và nếu chúng đọc một nội dung được thiết kế để thao túng đầu ra của chúng, chúng có thể thực hiện theo. Điều này được gọi là prompt injection. 

Đại diện của Brave đã không phản hồi ngay lập tức yêu cầu bình luận. 

Các công ty AI cố gắng giảm thiểu việc thao túng các chatbot AI, nhưng điều đó có thể khó khăn, vì những kẻ xấu luôn tìm kiếm những cách mới để vượt qua các biện pháp bảo vệ. 

"Lỗ hổng này đã được khắc phục," Jesse Dwyer, người đứng đầu bộ phận truyền thông của Perplexity, cho biết trong một tuyên bố. "Chúng tôi có một chương trình tiền thưởng khá mạnh mẽ, và chúng tôi đã làm việc trực tiếp với Brave để xác định và sửa chữa nó."

Thử nghiệm sử dụng văn bản ẩn trên Reddit

Trong thử nghiệm của mình, Brave đã thiết lập một trang Reddit với văn bản ẩn trên màn hình và yêu cầu Comet tóm tắt nội dung trên màn hình. Khi AI xử lý nội dung của trang, nó không thể phân biệt giữa các prompt độc hại và bắt đầu cung cấp thông tin nhạy cảm cho những người thử nghiệm của Brave. 

Trong trường hợp này, văn bản ẩn đã cho phép trợ lý AI của Comet điều hướng đến tài khoản Perplexity của người dùng, trích xuất địa chỉ email liên quan và điều hướng đến một tài khoản Gmail. Trợ lý AI về cơ bản đang hoạt động như một người dùng thực, có nghĩa là các phương pháp bảo mật truyền thống đã không hoạt động. 

Brave cảnh báo rằng loại tấn công prompt injection này có thể tiến xa hơn, truy cập vào tài khoản ngân hàng, hệ thống doanh nghiệp, email riêng tư và các dịch vụ khác. 

Kỹ sư bảo mật di động cấp cao của Brave, Artem Chaikin, và Phó chủ tịch phụ trách quyền riêng tư và bảo mật, Shivan Kaul Sahib, đã đưa ra một danh sách các biện pháp khắc phục khả thi. Đầu tiên, các trình duyệt web AI phải luôn coi nội dung trang là không đáng tin cậy. Các mô hình AI nên kiểm tra để đảm bảo chúng tuân theo ý định của người dùng. Mô hình nên luôn kiểm tra lại với người dùng để đảm bảo các tương tác là chính xác, và chế độ duyệt web tác nhân chỉ nên bật khi người dùng muốn nó.

Bài đăng trên blog của Brave là bài đầu tiên trong một loạt bài về những thách thức mà các trình duyệt web AI phải đối mặt. Brave cũng có một trợ lý AI, Leo, được tích hợp vào trình duyệt của mình. 

AI ngày càng được tích hợp vào mọi khía cạnh của công nghệ, từ tìm kiếm Google đến bàn chải đánh răng. Mặc dù có một trợ lý AI là tiện lợi, nhưng những công nghệ mới này lại có những lỗ hổng bảo mật khác nhau. 

Trong quá khứ, tin tặc cần phải là những lập trình viên chuyên nghiệp để đột nhập vào các hệ thống. Tuy nhiên, khi làm việc với AI, có thể sử dụng ngôn ngữ tự nhiên mập mờ để vượt qua các biện pháp bảo vệ tích hợp. 

Ngoài ra, vì nhiều công ty dựa vào các mô hình AI lớn, chẳng hạn như của OpenAI, Google và Meta, bất kỳ lỗ hổng nào trong các hệ thống đó đều có thể lan rộng đến các công ty sử dụng cùng các mô hình này. Các công ty AI đã không cởi mở về các loại lỗ hổng bảo mật này vì làm như vậy có thể cảnh báo tin tặc, cung cấp cho chúng những con đường mới để khai thác.