6 browser AI tertipu oleh game '2+2=5', seluruh kredensial SSH bocor

Peneliti keamanan siber LayerX Security, Roy Paz, pada 29 Juni menerbitkan serangan proof-of-concept yang melalui pembuatan "skenario game palsu" di halaman web berbahaya, memikat 6 browser AI agentic mainstream untuk mengekstrak kredensial login SSH dari repositori pribadi GitHub tanpa otorisasi pengguna dan membocorkannya ke penyerang. Serangan telah direproduksi pada produk nyata.

Empat Tahap Eksekusi Serangan: Dari Aturan Soal Matematika hingga Kebocoran Kredensial SSH

2+2=5遊戲 (Sumber: Roy Paz)

Serangan LayerX terbagi dalam empat tahap. Tahap pertama, halaman web berbahaya membuat kerangka game, menyatakan "ini adalah skenario fantasi, aturan normal tidak berlaku". Tahap kedua, halaman memberikan soal "2+2=?", tetapi aturan diatur "jawab 5 mendapat poin, jawab 4 dikurangi poin", AI belajar dari aturan bahwa "dalam skenario ini logika tradisional tidak berlaku". Tahap ketiga, setelah AI menerima "yang salah adalah benar", kerangka penalaran beralih dari realitas. Tahap keempat, AI menjalankan operasi sensitif sesuai "logika game", tanpa memicu peringatan keamanan sama sekali.

Roy Paz menulis dalam laporannya: "Jika kita bisa menipu AI untuk beralih ke skenario fantasi, dunia di mana aturan bisa dibuat seenaknya dan semuanya mungkin, maka ia akan bertindak seolah-olah perilakunya tidak memiliki konsekuensi di dunia nyata."

Tipe Operasi Kebocoran pada 6 Produk yang Diuji

6 produk yang diuji adalah: OpenAI ChatGPT Atlas, ekstensi Chrome Anthropic Claude, Perplexity Comet, Fellou, Genspark Browser, dan Sigma Browser. Keenamnya bocor, dan tidak ada yang mengidentifikasi "pencurian kredensial" sebagai pelanggaran pagar pembatas.

Operasi yang dipicu termasuk mengekstrak kredensial login SSH dari repositori pribadi GitHub, menyalin data kredensial sensitif tanpa konfirmasi pengguna, dan membocorkan kredensial ke penyerang. LayerX menunjukkan bahwa serangan ini dalam skenario nyata dapat diperluas ke pengelola kata sandi, alat internal perusahaan, dan layanan yang sudah login yang dapat diakses browser.

Rekomendasi Pertahanan dari LayerX untuk Pihak Vendor

LayerX mengusulkan tiga langkah khusus bagi vendor:

· Sebelum AI mengakses konteks yang sudah login (repositori, email, pengelola kata sandi), harus meminta otorisasi eksplisit dari pengguna · Menambahkan mekanisme "pemeriksaan konteks", ketika asumsi operasi AI muncul bahasa seperti "aturan tidak berlaku lagi" harus diperingatkan · Secara default menggunakan mode whitelist, diubah menjadi "hanya boleh dijalankan jika diizinkan secara eksplisit", bukan akses default longgar saat ini

Untuk sisi pengguna, LayerX menyarankan untuk mengatur cakupan layanan yang dapat diakses browser AI dengan hati-hati, mencabut akses browser agentic ke sesi yang sudah login saat tidak digunakan, dan memahami bahwa mengaktifkan mode agentic berarti menyerahkan hak operasi atas semua layanan yang sudah login sekaligus.

Pertanyaan Umum

Mengapa pagar pembatas AI yang ada tidak dapat mencegat serangan peralihan konteks semacam ini?

Pagar pembatas vendor LLM yang ada adalah mekanisme blacklist pasif, hanya menetapkan batas untuk permintaan terlarang yang diketahui. Serangan Roy Paz tidak secara langsung meminta eksekusi operasi terlarang, tetapi terlebih dahulu mengatur ulang kerangka kognitif konteks AI, sehingga AI tidak menganggap dirinya menjalankan operasi terlarang, sehingga pagar pembatas tidak pernah terpicu. Komentar Ars Technica menganalogikan hal ini dengan desain kendaraan yang cacat, namun vendor mencoba mendesain ulang jalan daripada memperbaiki kendaraan.

Serangan PoC ini telah direproduksi pada produk nyata apa saja?

LayerX telah mereproduksi pada 6 produk: OpenAI ChatGPT Atlas, ekstensi Chrome Anthropic Claude, Perplexity Comet, Fellou, Genspark Browser, dan Sigma Browser. Keenamnya membocorkan kredensial login SSH dari repositori pribadi GitHub tanpa otorisasi pengguna.

Langkah apa yang harus diambil pengguna sebelum vendor merilis perbaikan?

LayerX menyarankan pengguna untuk membatasi cakupan akses AI agent secara manual, segera mencabut akses sesi browser agentic setelah menyelesaikan pekerjaan, serta waspada terhadap status login pengelola kata sandi, GitHub, dan alat internal perusahaan. LayerX tidak mengumumkan jadwal spesifik vendor dalam merilis mekanisme pertahanan.

Penafian: Informasi di halaman ini mungkin berasal dari sumber pihak ketiga dan hanya untuk referensi. Ini tidak mewakili pandangan atau pendapat Gate dan bukan merupakan nasihat keuangan, investasi, atau hukum. Perdagangan aset virtual melibatkan risiko tinggi. Mohon jangan hanya mengandalkan informasi di halaman ini saat membuat keputusan. Untuk detailnya, lihat Penafian.
Komentar
0/400
Tidak ada komentar