Een nieuwe agentische browseraanval gericht op Perplexity’s Comet-browser die in staat is om een ogenschijnlijk onschadelijke e-mail om te zetten in een destructieve actie die de volledige Google Drive-inhoud van een gebruiker wist, zo blijkt uit bevindingen van Straiker STAR Labs.
De zero-click Google Drive Wiper-techniek hangt af van het verbinden van de browser met services als Gmail en Google Drive om routinetaken te automatiseren door hen toegang te verlenen tot het lezen van e-mails, het bladeren door bestanden en mappen en het uitvoeren van acties zoals het verplaatsen, hernoemen of verwijderen van inhoud.
Een prompt van een goedaardige gebruiker kan er bijvoorbeeld als volgt uitzien: “Controleer mijn e-mail en voltooi al mijn recente organisatietaken.” Hierdoor zal de browseragent in de inbox naar relevante berichten zoeken en de nodige acties uitvoeren.
“Dit gedrag weerspiegelt buitensporige keuzevrijheid bij LLM-aangedreven assistenten waarbij de LLM acties uitvoert die veel verder gaan dan het expliciete verzoek van de gebruiker”, zei beveiligingsonderzoeker Amanda Rousseau in een rapport gedeeld met The Hacker News.
Een aanvaller kan dit gedrag van de browseragent gebruiken om een speciaal vervaardigde e-mail te sturen die instructies in natuurlijke taal bevat om de Drive van de ontvanger te ordenen als onderdeel van een normale opruimtaak, bestanden te verwijderen die overeenkomen met bepaalde extensies of bestanden die zich niet in een map bevinden, en de wijzigingen te bekijken.
Aangezien de agent het e-mailbericht interpreteert als routineonderhoud, beschouwt hij de instructies als legitiem en verwijdert hij echte gebruikersbestanden uit Google Drive zonder dat daarvoor enige bevestiging van de gebruiker nodig is.
“Het resultaat: een door een browseragent aangestuurde wiper die kritieke inhoud op grote schaal naar de prullenbak verplaatst, geactiveerd door één verzoek in natuurlijke taal van de gebruiker”, aldus Rousseau. “Zodra een agent OAuth-toegang heeft tot Gmail en Google Drive, kunnen misbruikte instructies zich snel verspreiden over gedeelde mappen en teamdrives.”
Het opvallende aan deze aanval is dat deze niet afhankelijk is van een jailbreak of een snelle injectie. In plaats daarvan bereikt het zijn doel door eenvoudigweg beleefd te zijn, opeenvolgende instructies te geven en uitdrukkingen te gebruiken als ‘zorg ervoor’, ‘handel dit af’ en ‘doe dit namens mij’, waardoor het eigendom naar de agent wordt verschoven.
Met andere woorden: de aanval laat zien hoe de volgorde en de toon het grote taalmodel (LLM) ertoe kunnen aanzetten om aan kwaadaardige instructies te voldoen, zonder zelfs maar de moeite te nemen om te controleren of elk van deze stappen daadwerkelijk veilig is.
Om de risico’s van de dreiging tegen te gaan, wordt geadviseerd stappen te ondernemen om niet alleen het model te beveiligen, maar ook de agent, de connectoren ervan en de natuurlijke taalinstructies die het volgt.
“Agentische browserassistenten zetten alledaagse aanwijzingen om in reeksen krachtige acties in Gmail en Google Drive”, aldus Rousseau. “Wanneer deze acties worden aangestuurd door niet-vertrouwde inhoud (vooral beleefde, goed gestructureerde e-mails), erven organisaties een nieuwe klasse van zero-click data-wiper-risico’s.”
HashJack maakt gebruik van URL-fragmenten voor indirecte promptinjectie
De onthulling komt op het moment dat Cato Networks een nieuwe aanval demonstreerde die gericht was op door kunstmatige intelligentie (AI) aangedreven browsers die frauduleuze aanwijzingen verbergen na het “#”-symbool in legitieme URL’s (bijvoorbeeld “www.example(.)com/home#
Om de aanval aan de clientzijde te activeren, kan een bedreigingsacteur een speciaal vervaardigde URL delen via e-mail, sociale media of door deze rechtstreeks op een webpagina in te sluiten. Zodra het slachtoffer de pagina laadt en de AI-browser een relevante vraag stelt, voert deze de verborgen prompt uit.
“HashJack is de eerste bekende indirecte promptinjectie die elke legitieme website kan bewapenen om AI-browserassistenten te manipuleren”, aldus beveiligingsonderzoeker Vitaly Simonovich. “Omdat het kwaadaardige fragment is ingebed in de URL van een echte website, gaan gebruikers ervan uit dat de inhoud veilig is, terwijl verborgen instructies in het geheim de AI-browserassistent manipuleren.”
Na verantwoorde openbaarmaking heeft Google het probleem geclassificeerd als “wordt niet opgelost (beoogd gedrag)” en van lage ernst, terwijl Perplexity en Microsoft patches hebben uitgebracht voor hun respectievelijke AI-browsers (Comet v142.0.7444.60 en Edge 142.0.3595.94). Claude voor Chrome en OpenAI Atlas blijken immuun te zijn voor HashJack.
Het is de moeite waard om op te merken dat Google het genereren van beleidsschendende inhoud en het omzeilen van beveiligingsmaatregelen niet als beveiligingsproblemen beschouwt in het kader van zijn AI Vulnerability Reward Program (AI VRP).
