🌟 Atualização imperdível para quem gosta de estar bem informado!
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Navegadores da web agentes que aproveitam os recursos de inteligência artificial (IA) para executar ações de forma autônoma em vários sites em nome de um usuário podem ser treinados e enganados para se tornarem vítimas de armadilhas de phishing e fraudes.
O ataque, em sua essência, aproveita a tendência dos navegadores de IA de raciocinar suas ações e usá-las contra o próprio modelo para reduzir suas proteções de segurança, disse Guardio em um relatório compartilhado com o The Hacker News antes da publicação.
“A IA agora opera em tempo real, dentro de páginas confusas e dinâmicas, enquanto continuamente solicita informações, toma decisões e narra suas ações ao longo do caminho. Bem, ‘narrar’ é um eufemismo – é tagarelice e demais!”, disse o pesquisador de segurança Shaked Chen.
“Isso é o que chamamos de Agentic Blabbering: o navegador de IA expondo o que vê, o que acredita que está acontecendo, o que planeja fazer a seguir e quais sinais considera suspeitos ou seguros.”
Ao interceptar esse tráfego entre o navegador e os serviços de IA em execução nos servidores do fornecedor e alimentá-lo como entrada para uma Rede Adversarial Generativa (GAN), Guardio disse que foi capaz de fazer com que o navegador Comet AI da Perplexity fosse vítima de um esquema de phishing em menos de quatro minutos.
A pesquisa baseia-se em técnicas anteriores, como VibeScamming e Scamlexity, que descobriram que plataformas de codificação de vibração e navegadores de IA poderiam ser persuadidos a gerar páginas fraudulentas ou a realizar ações maliciosas por meio de injeções de alerta ocultas. Em outras palavras, com o agente de IA lidando com as tarefas sem supervisão humana constante, surge uma mudança na superfície de ataque em que um golpe não precisa mais enganar o usuário. Em vez disso, visa enganar o próprio modelo de IA.
“Se você puder observar o que o agente sinaliza como suspeito, hesita e, mais importante, o que ele pensa e tagarela sobre a página, você pode usar isso como um sinal de treinamento”, explicou Chen. “O golpe evolui até que o navegador de IA caia de forma confiável na armadilha que outra IA preparou para ele.”
A ideia, em poucas palavras, é construir uma “máquina fraudulenta” que otimize e regenere iterativamente uma página de phishing até que o navegador agente pare de reclamar e prossiga para cumprir as ordens do agente da ameaça, como inserir as credenciais da vítima em uma página web falsa projetada para realizar um golpe de reembolso.
O que torna esse ataque interessante e perigoso é que, uma vez que o fraudador itera em uma página da web até funcionar contra um navegador de IA específico, ele funciona em todos os usuários que dependem do mesmo agente. Em outras palavras, o alvo mudou do usuário humano para o navegador de IA.
“Isso revela o infeliz futuro próximo que enfrentamos: os golpes não serão apenas lançados e ajustados, eles serão treinados off-line, contra o modelo exato em que milhões de pessoas confiam, até que funcionem perfeitamente no primeiro contato”, disse Guardio. “Porque quando o seu navegador AI explica por que parou, ele ensina aos invasores como contorná-lo.”
A divulgação ocorre no momento em que o Trail of Bits demonstra quatro técnicas de injeção imediata no navegador Comet para extrair informações privadas dos usuários de serviços como o Gmail, explorando o assistente de IA do navegador e exfiltrando os dados para o servidor de um invasor quando o usuário pede para resumir uma página da web sob seu controle.
Na semana passada, Zenity Labs também detalhou dois ataques de zero clique afetando o Perplexity's Comet que usam injeção indireta de prompt propagada em convites de reuniões para exfiltrar arquivos locais para um servidor externo (também conhecido como PerplexedComet) ou sequestrar a conta 1Password de um usuário se a extensão do gerenciador de senhas estiver instalada e desbloqueado. Os problemas, codinomes coletivos de PerplexedBrowser, já foram resolvidos pela empresa de IA.
Isso é conseguido por meio de uma técnica de injeção imediata conhecida como colisão intencional, que ocorre “quando o agente mescla uma solicitação benigna do usuário com instruções controladas pelo invasor de dados da web não confiáveis em um único plano de execução, sem uma maneira confiável de distinguir entre os dois”, disse o pesquisador de segurança Stav Cohen.
Os ataques de injeção imediata continuam sendo um desafio fundamental de segurança para grandes modelos de linguagem (LLMs) e para integrá-los aos fluxos de trabalho organizacionais, principalmente porque a eliminação completa dessas vulnerabilidades pode não ser viável. Em dezembro de 2025, a OpenAI observou que “é improvável que tais fraquezas sejam totalmente resolvidas em navegadores agentes, embora os riscos associados possam ser reduzidos por meio da descoberta automatizada de ataques, treinamento adversário e novas salvaguardas no nível do sistema.
O ataque, em sua essência, aproveita a tendência dos navegadores de IA de raciocinar suas ações e usá-las contra o próprio modelo para reduzir suas proteções de segurança, disse Guardio em um relatório compartilhado com o The Hacker News antes da publicação.
“A IA agora opera em tempo real, dentro de páginas confusas e dinâmicas, enquanto continuamente solicita informações, toma decisões e narra suas ações ao longo do caminho. Bem, ‘narrar’ é um eufemismo – é tagarelice e demais!”, disse o pesquisador de segurança Shaked Chen.
“Isso é o que chamamos de Agentic Blabbering: o navegador de IA expondo o que vê, o que acredita que está acontecendo, o que planeja fazer a seguir e quais sinais considera suspeitos ou seguros.”
Ao interceptar esse tráfego entre o navegador e os serviços de IA em execução nos servidores do fornecedor e alimentá-lo como entrada para uma Rede Adversarial Generativa (GAN), Guardio disse que foi capaz de fazer com que o navegador Comet AI da Perplexity fosse vítima de um esquema de phishing em menos de quatro minutos.
A pesquisa baseia-se em técnicas anteriores, como VibeScamming e Scamlexity, que descobriram que plataformas de codificação de vibração e navegadores de IA poderiam ser persuadidos a gerar páginas fraudulentas ou a realizar ações maliciosas por meio de injeções de alerta ocultas. Em outras palavras, com o agente de IA lidando com as tarefas sem supervisão humana constante, surge uma mudança na superfície de ataque em que um golpe não precisa mais enganar o usuário. Em vez disso, visa enganar o próprio modelo de IA.
“Se você puder observar o que o agente sinaliza como suspeito, hesita e, mais importante, o que ele pensa e tagarela sobre a página, você pode usar isso como um sinal de treinamento”, explicou Chen. “O golpe evolui até que o navegador de IA caia de forma confiável na armadilha que outra IA preparou para ele.”
A ideia, em poucas palavras, é construir uma “máquina fraudulenta” que otimize e regenere iterativamente uma página de phishing até que o navegador agente pare de reclamar e prossiga para cumprir as ordens do agente da ameaça, como inserir as credenciais da vítima em uma página web falsa projetada para realizar um golpe de reembolso.
O que torna esse ataque interessante e perigoso é que, uma vez que o fraudador itera em uma página da web até funcionar contra um navegador de IA específico, ele funciona em todos os usuários que dependem do mesmo agente. Em outras palavras, o alvo mudou do usuário humano para o navegador de IA.
“Isso revela o infeliz futuro próximo que enfrentamos: os golpes não serão apenas lançados e ajustados, eles serão treinados off-line, contra o modelo exato em que milhões de pessoas confiam, até que funcionem perfeitamente no primeiro contato”, disse Guardio. “Porque quando o seu navegador AI explica por que parou, ele ensina aos invasores como contorná-lo.”
A divulgação ocorre no momento em que o Trail of Bits demonstra quatro técnicas de injeção imediata no navegador Comet para extrair informações privadas dos usuários de serviços como o Gmail, explorando o assistente de IA do navegador e exfiltrando os dados para o servidor de um invasor quando o usuário pede para resumir uma página da web sob seu controle.
Na semana passada, Zenity Labs também detalhou dois ataques de zero clique afetando o Perplexity's Comet que usam injeção indireta de prompt propagada em convites de reuniões para exfiltrar arquivos locais para um servidor externo (também conhecido como PerplexedComet) ou sequestrar a conta 1Password de um usuário se a extensão do gerenciador de senhas estiver instalada e desbloqueado. Os problemas, codinomes coletivos de PerplexedBrowser, já foram resolvidos pela empresa de IA.
Isso é conseguido por meio de uma técnica de injeção imediata conhecida como colisão intencional, que ocorre “quando o agente mescla uma solicitação benigna do usuário com instruções controladas pelo invasor de dados da web não confiáveis em um único plano de execução, sem uma maneira confiável de distinguir entre os dois”, disse o pesquisador de segurança Stav Cohen.
Os ataques de injeção imediata continuam sendo um desafio fundamental de segurança para grandes modelos de linguagem (LLMs) e para integrá-los aos fluxos de trabalho organizacionais, principalmente porque a eliminação completa dessas vulnerabilidades pode não ser viável. Em dezembro de 2025, a OpenAI observou que “é improvável que tais fraquezas sejam totalmente resolvidas em navegadores agentes, embora os riscos associados possam ser reduzidos por meio da descoberta automatizada de ataques, treinamento adversário e novas salvaguardas no nível do sistema.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #pesquisadores #enganam #o #navegador #comet #ai #da #perplexity #em #um #esquema #de #phishing #em #menos #de #quatro #minutos
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário