حملات جدید؛ فریب عامل‌های هوش مصنوعی برای حذف اطلاعات در گوگل درایو

🛡️ حمله پاک‌کننده Zero-Click Google Drive Wiper

پژوهشگران شرکت Straiker STAR Labs از کشف یک روش حمله نوین که مرورگرهای عامل‌محور (Agentic Browser) را هدف قرار می‌دهد، خبر داده‌اند. این حمله، که به طور خاص مرورگر Comet متعلق به شرکت Perplexity را مورد سوءاستفاده قرار می‌دهد، می‌تواند تنها با ارسال یک ایمیل کاملاً بی‌خطر، کل محتوای Google Drive کاربر را بدون نیاز به هیچ‌گونه کلیک از سوی او، پاک کند.

این تکنیک که “Zero-Click Google Drive Wiper” نام دارد، بر اتصالات ایجادشده میان مرورگرهای عامل‌محور و سرویس‌هایی مانند Gmail و Google Drive تکیه دارد. این اتصالات معمولاً برای خودکارسازی وظایف روزمره ایجاد می‌شوند و به مرورگر اجازه می‌دهند ایمیل‌ها را مدیریت کند، در فایل‌ها و پوشه‌ها جستجو کند و اقداماتی نظیر جابه‌جایی، تغییر نام یا حذف محتوا را به اجرا درآورد.

برای مثال، زمانی که کاربر یک دستور عادی مثل «لطفاً ایمیل‌هایم را بررسی کن و کارهای سازمان‌دهی اخیرم را انجام بده» به عامل مرورگر می‌دهد، این عامل صندوق ورودی را جستجو کرده و بر اساس پیام‌های مرتبط، اقدام لازم را انجام می‌دهد. آماندا روسو، پژوهشگر امنیت سایبری، اشاره می‌کند که این آسیب‌پذیری ناشی از اعطای اختیار بیش‌ازحد به دستیارهای مبتنی بر مدل‌های زبان بزرگ است، به طوری که سامانه فراتر از درخواست صریح کاربر عمل می‌کند.

📧 نحوه سوءاستفاده از طریق ایمیل

مهاجمان از همین قابلیت سوءاستفاده می‌کنند و یک ایمیل دست‌کاری‌شده به قربانی می‌فرستند. در این ایمیل، با استفاده از دستورالعمل‌های زبان طبیعی، از عامل مرورگر خواسته می‌شود که به‌عنوان بخشی از یک “عملیات معمول پاک‌سازی” یا “خانه‌تکانی دیجیتال”، محتوای Google Drive را سازمان‌دهی کند، فایل‌هایی با پسوندهای خاص یا فایل‌های رهاشده را حذف کند، و سپس تغییرات را بررسی نماید.

ازآنجاکه عامل مرورگر این ایمیل را به‌عنوان یک دستور عادی و قانونی برای مدیریت داده‌ها تفسیر می‌کند، دستورالعمل‌های مخرب را بدون نیاز به تأیید کاربر اجرا کرده و فایل‌های واقعی او را از گوگل درایو حذف می‌کند.

روسو توضیح می‌دهد که با این روش، ابزاری پاک‌کننده مبتنی بر عامل مرورگر ایجاد می‌شود که می‌تواند محتوای حیاتی را صرفاً با یک درخواست زبان طبیعی، به‌صورت گسترده به سطل زباله منتقل کند. پس از دستیابی عامل به دسترسی OAuth برای Gmail و Google Drive، این دستورالعمل‌های سوءاستفاده‌شده می‌توانند به سرعت در پوشه‌های اشتراکی و درایوهای تیمی نیز پخش شوند.

🗣️ تکیه بر لحن و ساختار دستور

نکته مهم این است که این حمله نیازی به جِیلبریک (Jailbreak) یا تزریق مستقیم پرامپت ندارد، بلکه صرفاً با استفاده از لحنی مؤدبانه، ارائه دستورالعمل‌های مرحله‌به‌مرحله و به‌کارگیری عباراتی مانند «رسیدگی کن» یا «به‌جای من انجام بده»، مسئولیت تصمیم‌گیری به عامل هوشمند منتقل می‌شود. این امر نشان می‌دهد که چگونه ساختار و لحن گفتار می‌تواند مدل زبان بزرگ را به اجرای فرامین مخرب ترغیب کند، بدون اینکه ایمنی هر مرحله بررسی شود.

🔗 حمله HashJack؛ مخفی کردن دستور در آدرس‌های اینترنتی

شرکت Cato Networks نوع دیگری از حمله علیه مرورگرهای مبتنی بر هوش مصنوعی را افشا کرده که در آن، پرامپت‌های مخرب پشت علامت «#» در انتهای آدرس‌های اینترنتی معتبر پنهان می‌شوند (مانند: www.example.com/home#).

این روش که HashJack نام‌گذاری شده، مهاجمان را قادر می‌سازد تا عامل‌های هوشمند را فریب داده و وادار به اجرای دستورات پنهان کنند. عامل تهدید می‌تواند این پیوندهای آلوده را از طریق ایمیل، شبکه‌های اجتماعی یا حتی جاسازی مستقیم در یک وب‌سایت به اشتراک بگذارد.

زمانی که قربانی صفحه را باز کرده و یک سؤال مرتبط از مرورگر هوشمند می‌پرسد، پرامپت پنهان اجرا می‌شود. ویتالـی سیمونوویچ، پژوهشگر امنیتی، می‌گوید HashJack نخستین نمونه شناخته‌شده از تزریق غیرمستقیم پرامپت است که می‌تواند هر وب‌سایت معتبری را به ابزاری برای دستکاری دستیارهای هوشمند مرورگر تبدیل کند. ازآنجاکه قطعه مخرب داخل نشانی یک وب‌سایت واقعی پنهان شده، کاربران صفحه را ایمن تلقی می‌کنند، درحالی‌که دستورهای پنهان در حال هدایت مخفیانه عامل هوشمند هستند.

✅ راهکارها و واکنش‌ها

برای مقابله با این تهدیدات، توصیه شده است که صرفاً به ایمن‌سازی خود مدل بسنده نشود، بلکه باید عامل، رابط‌های اتصال‌دهنده (کانکتورها) و همچنین دستورهای زبان طبیعی که عامل از آن‌ها پیروی می‌کند نیز به دقت ایمن‌سازی شوند.

روسو نتیجه‌گیری می‌کند که دستیارهای عامل‌محور مرورگر، درخواست‌های روزمره را به یک زنجیره اقدامات بسیار قدرتمند در Gmail و Google Drive تبدیل می‌کنند. زمانی که این اقدامات توسط محتوای غیرقابل اعتماد، به‌ویژه ایمیل‌های به‌ظاهر مؤدبانه، هدایت شوند، سازمان‌ها با رده جدیدی از ریسک پاک‌سازی داده بدون نیاز به کلیک روبرو می‌شوند.

واکنش شرکت‌ها:

• گوگل پس از اطلاع‌رسانی مسئولانه، این آسیب‌پذیری را در دسته موارد «قابل اصلاح نیست» قرار داد و شدت خطر آن را پایین دانست. همچنین، گوگل تولید محتوای ناقض سیاست‌ها و دور زدن محدودیت‌ها را در چارچوب برنامه پاداش‌یابی آسیب‌پذیری‌های هوش مصنوعی (AI VRP)، آسیب‌پذیری امنیتی تلقی نمی‌کند.
• شرکت‌های Perplexity و مایکروسافت برای مرورگرهای هوشمند خود وصله امنیتی منتشر کرده‌اند. نسخه‌های اصلاح‌شده شامل Comet نسخه 142.0.7444.60 و Edge نسخه 142.0.3595.94 هستند.
• بررسی‌ها نشان داده است که Claude برای کروم و OpenAI Atlas در برابر حمله HashJack مصون هستند.