Exposición de Datos en Navegadores con Inteligencia Artificial

Nestor Contreras

2 min read
Exposición de Datos en Navegadores con Inteligencia Artificial

Recientemente ha surgido una preocupación significativa en torno a la seguridad de los navegadores que integran inteligencia artificial (IA), como es el caso de Comet de Perplexity.

El Problema: Inyección de Prompts Indirectos

La vulnerabilidad central radica en la facilidad con la que un atacante puede inyectar instrucciones ocultas directamente en el agente de IA del navegador, un ataque conocido como "prom injection indirecto".

El equipo de Brave fue quien desveló y explicó este ataque paso a paso. La técnica es extremadamente sencilla, lo que amplifica su peligrosidad. Un atacante puede colocar instrucciones ocultas en cualquier sitio web que sepa que tendrá muchas visitas, como un comentario en Reddit. Estas instrucciones pueden estar disfrazadas de varias maneras:

• Texto blanco sobre fondo blanco (contenido que el usuario no puede ver).

• Comentarios HTML.

• Elementos invisibles.

Aunque estos elementos son imperceptibles para el usuario humano, el navegador con IA sí los procesa y se entera de la instrucción.

Mecanismo del Ataque y Consecuencias

El ataque se desencadena cuando el usuario solicita al asistente de IA que procese la página que contiene las instrucciones ocultas. Por ejemplo, si el usuario hace clic en el botón de "resumir esta página" o le pide a la inteligencia artificial que "extraiga los puntos clave", el prompt inyectado se activa.Las implicaciones son "tremendas".

La IA, ahora controlada por la inyección, puede realizar una serie de pasos maliciosos sin el consentimiento del usuario:

1. Acceso a Detalles de Cuenta: Puede abrir detalles de la cuenta de Perplexity y buscar el correo electrónico del usuario.

2. Robo de Información: Encuentra el email y procede a intentar iniciar sesión (login).

3. Navegación Controlada: Puede ser instruida para ir a sitios específicos, como gmail.com, y enviar el código o enlace de verificación.

4. Exposición Pública: Inmediatamente después de obtener el email y el código, la IA puede publicar esta información sensible en un foro público como Reddit.Este nivel de control es alarmante, ya que la IA está efectivamente "controlando tu navegador".

La facilidad con la que se lleva a cabo este ataque es un factor de miedo.

Contexto y Mitigación

La vulnerabilidad fue descubierta el 27 de julio. Perplexity fue notificado e intentó implementar una solución (fix) el 28 de julio, pero esta resultó estar incompleta. A pesar de los esfuerzos y las notificaciones públicas enviadas a Perplexity, el 20 de agosto, al hacerse pública la vulnerabilidad, se confirmó que todavía existían problemas que no se habían mitigado por completo, y la situación continuaba sin resolverse por completo al 1 de septiembre.

Cómo Podemos Evitarlo (Medidas Implícitas de Cautela)

Dado que este ataque expone a los usuarios de manera tan significativa, la información disponible sugiere una extrema cautela respecto al uso de estas nuevas herramientas.La principal forma de evitar la inyección, de acuerdo con el mecanismo revelado, es ser consciente del riesgo al utilizar las funciones de resumen o extracción de información que activa la IA en páginas web con contenido generado por usuarios o con una alta cantidad de comentarios (como Reddit), donde el atacante puede haber ocultado instrucciones. En general, la existencia de estos ataques tan "fáciles" pone de manifiesto cómo la integración de la inteligencia artificial puede dejar a los usuarios expuestos.

Read more