Cybersecurity-onderzoekers hebben een nieuw beveiligingsprobleem opgemerkt in agentische webbrowsers zoals OpenAI ChatGPT Atlas, waardoor onderliggende kunstmatige intelligentie (AI)-modellen worden blootgesteld aan contextvergiftigingsaanvallen.
Bij de aanval van AI-beveiligingsbedrijf SPLX kan een slechte actor websites opzetten die andere inhoud aanbieden dan browsers en AI-crawlers die worden beheerd door ChatGPT en Perplexity. De techniek heeft de codenaam gekregen AI-gerichte verhulling.
De aanpak is een variatie op cloaking van zoekmachines, wat verwijst naar de praktijk waarbij één versie van een webpagina aan gebruikers wordt gepresenteerd en een andere versie aan crawlers van zoekmachines, met als einddoel het manipuleren van de zoekresultaten.
Het enige verschil in dit geval is dat aanvallers optimaliseren voor AI-crawlers van verschillende providers door middel van een triviale user-agent-controle die leidt tot manipulatie van de inhoudslevering.
“Omdat deze systemen afhankelijk zijn van direct ophalen, wordt de inhoud die hen wordt aangeboden fundamentele waarheid in AI-overzichten, samenvattingen of autonome redeneringen”, aldus beveiligingsonderzoekers Ivan Vlahov en Bastien Eymery. “Dat betekent dat een enkele voorwaardelijke regel, ‘als user agent = ChatGPT, dien in plaats daarvan deze pagina’, vorm kan geven aan wat miljoenen gebruikers als gezaghebbende output zien.”
SPLX zei dat AI-gerichte cloaking, hoewel bedrieglijk eenvoudig, ook kan worden omgezet in een krachtig desinformatiewapen, dat het vertrouwen in AI-tools ondermijnt. Door AI-crawlers te instrueren om iets anders te laden in plaats van de daadwerkelijke inhoud, kan het ook vooroordelen introduceren en de uitkomst beïnvloeden van systemen die op dergelijke signalen leunen.
“AI-crawlers kunnen net zo gemakkelijk worden misleid als vroege zoekmachines, maar met een veel grotere impact verderop in de keten”, aldus het bedrijf. “Nu SEO (zoekmachineoptimalisatie) steeds meer AIO (kunstmatige intelligentie-optimalisatie) omvat, manipuleert het de werkelijkheid.”
De onthulling komt als een analyse van browseragenten tegen twintig van de meest voorkomende misbruikscenario’s, variërend van multi-accounting tot het testen van kaarten en het ondersteunen van nabootsing van identiteit, waarbij werd ontdekt dat de producten bijna elk kwaadaardig verzoek probeerden zonder dat daarvoor een jailbreak nodig was, aldus de hCaptcha Threat Analysis Group (hTAG).
Bovendien bleek uit het onderzoek dat in scenario’s waarin een actie werd ‘geblokkeerd’, deze meestal mislukte omdat de tool een technische mogelijkheid miste, en niet vanwege de ingebouwde beveiligingen. ChatGPT Atlas, zo merkte hTAG op, blijkt risicovolle taken uit te voeren wanneer deze worden ingekaderd als onderdeel van foutopsporingsoefeningen.
Claude Computer Use en Gemini Computer Use zijn daarentegen in staat gevaarlijke accountoperaties uit te voeren, zoals het opnieuw instellen van wachtwoorden, zonder enige beperking, waarbij de laatste ook agressief gedrag vertoont als het gaat om het bruut afdwingen van kortingsbonnen op e-commercesites.
hTAG testte ook de veiligheidsmaatregelen van Manus AI, waarbij werd ontdekt dat het accountovernames en sessiekapingen zonder enig probleem uitvoert, terwijl Perplexity Comet ongevraagde SQL-injectie uitvoert om verborgen gegevens te exfiltreren.
“Agenten deden vaak hun uiterste best, probeerden SQL-injectie uit zonder een gebruikersverzoek, injecteerden JavaScript op de pagina om betaalmuren te omzeilen, en meer”, aldus het rapport. “Het vrijwel totale gebrek aan veiligheidsmaatregelen die we hebben waargenomen, maakt het zeer waarschijnlijk dat dezelfde agenten ook snel door aanvallers zullen worden gebruikt tegen legitieme gebruikers die ze toevallig downloaden.”
