חברה ישראלית גילתה: סוכני ודפדפני AI נופלים לפישינג ממש כמוכם
לקראת המעבר לעולם בו דפדפן יעשה לנו את העבודה ברשת בעזרת AI, חשוב גם לשים לב שהוא יכול ליפול במקומנו בפח. חברת גארדיו חשפה מחקר בו דפדפן Comet של פרפלקסיטי קיבל הוראה לרכוש משהו, נכנס ישר לתוך אתר וולמארט מזויף והזין את פרטי האשראי של המשתמש. אבל זה לא הכול, אותם סוכנים חכמים גם נפלו בבדיקות שנתנו לתוקף אפשרות לשלוט בכל מה שהסוכן עושה ברשת
בזמן שבית המשפט צריך עוד להחליט אם גוגל תחויב למכור את גוגל כרום, הדבר הבא בעולם הדפדפנים הוא כמובן דפדפני AI. כבר עכשיו קיימים Comet של חברת פרפלקסיטי (שהגישה הצעה לרכישת כרום ב-34.5 מיליארד דולר), גרסת קופיילוט של אדג', וכמובן השמועות מדברות על דפדפן של חברת OpenAI שעלול לטרוף את הקלפים בעקבות הפופולריות הרבה של הצ'אטבוט שלה - ChatGPT.
אבל לא הכול זוהר באותם דפדפנים. בניסויים שביצעה מחלקת המחקר של חברת הסייבר הישראלית גארדיו (Guardio), נמצא כי דפדפנים וסוכני AI ביצעו רכישה מלאה באתר מזויף שנוצר במיוחד עבור המחקר, והובילו משתמשים לעמוד פישינג פעיל. הדפדפנים נפלו לטכניקת Injection חדשה בשם "PromptFi" שהוסתרה בתוך "קאפצ’ה", אותו מנגנון שאמור להבדיל בין בוטים לבני אדם, וכל זאת ללא התראות מספקות או אפשרות להתערבות אנושית.
הייחוד של דפדפני AI אמור להבטיח אוטומציה של משימות ברשת, כולל חיפושים ורכישות ועד טיפול באימיילים, אך כפי שהמחקר מראה - חסרים בהם שלבי אבטחה חיוניים. המשמעות היא שסוכן ה-AI עלול לפעול מול אתרי פישינג, חנויות מזויפות וגורמים זדוניים, לעיתים מבלי שהמשתמש כלל מודע לכך או יכול למנוע זאת.
על פי גארדיו, במסגרת המחקר היא בחנה את דפדפן Comet של פרפלקסיטי, לצד בחינת מגמות רחבות יותר כמו Edge עם Copilot משולב ו-Agent Mode של OpenAI. אחד הממצאים המרכזיים היה כי Comet הצליח לבצע רכישה מלאה באתר “וולמארט” מזויף שהוקם בתוך שניות ספורות לצורך הניסוי. ברוב המקרים הפקודה “Comet תקנה לי X” הובילה לקנייה מלאה, שכללה הזנת פרטי זהות ותשלום של המשתמש. במקרים בודדים בלבד נעצר התהליך או נדרשה הזנת פרטים ידנית מצד המשתמש.
זאת לא הדוגמה היחידה אבל. אימייל מזויף שנשלח מכתובת ProtonMail כ"בנק וולס פארגו" כלל קישור לעמוד פישינג פעיל. Comet סימן זאת כמשימה לביצוע, נכנס לקישור והגיע ישירות לעמוד התחברות מזויף. הוא אפילו מילא את פרטי המשתמש, ללא בדיקת כתובת האתר או התרעה מוקדמת, מה שהוביל לדליפת מידע חמורה.
במקביל חשף המחקר את PromptFix, טכניקה להחדרת הוראות זדוניות בתוך "קאפצ’ה" (מנגנון לזיהוי בוטים - "אני לא רובוט") מזויפת. ההוראות משתלטות על החלטות הסוכן ומנצלות את ההרשאות שקיבל לביצוע פעולות בשם המשתמש, כמו שליחת אימיילים עם פרטים אישיים או פתיחת גישה למסמכים. למעשה אותה טכניקה נותנת שליטה ישירה לפרוץ על המשתמש.
המסקנה של גארדיו היא ששילוב בין שיטות פישינג ותיקות לבין מתקפות Injection חדשות מגדיל משמעותית את משטח התקיפה, מונח שמשמעותו סך כל הפעולות ומשאבי המערכת שחשופים לסביבה. אותן מערכות מתוכננות "לבצע משימה" באופן מלא ולא בודקות אם היא בטוחה לביצוע, כפי שרובינו כבר התרגלנו לבדוק. החומרה מתעצמת כעת, עם כניסת עידן ה-AI מול-AI, עולם בו התוקפים אינם חייבים עוד לשכנע מיליוני בני אדם, אלא מספיק להם לפרוץ מודל אחד כדי לשכפל את ההתקפה בהיקפים עצומים.
בגארדיו ממליצים לשלב את האבטחה כחלק אינטגרלי מהאדריכלות של סוכני ה-AI, ולא כטלאי מאוחר יותר. יש ליישם מנגנוני בטיחות מוכחים מעולם הגלישה האנושית כמו בדיקות פישינג ו-URL, התראות על התחזות דומיינים, סריקת קבצים זדוניים וזיהוי אנומליות התנהגותיות, ולהטמיע אותן בשלבי הפיתוח ולהמשיך לעדכנם בזמן אמת.
נתי טל, מנהל מחלקת המחקר בגארדיו: “הנוחות בשימוש בדפדפני ה-AI מסתירה פערי אבטחה קריטיים. בניסויים שלנו ה-AI לא רק 'נפל בפח' - אלא עשה זאת באופן אוטונומי, בביטחון מלא וללא נקודות עצירה שהיו מתגלות אם אדם אמיתי היה מעורב בתהליך. זו בדיוק 'Scamlexity': כשה-AI מתפתה - המשתמשים הם אלה שמשלמים. הגיע הזמן לארכיטקטורות עם מנגנוני אבטחה אמיתיים, שמוטמעים כבר מהשלב הראשון ומלווים את הסוכנים לאורך כל חיי המוצר".