Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Истражувачи го измамија AI прелистувачот Comet на Perplexity со фишинг измама за помалку од четири минути

Објавено: 12.03.2026

Agentic веб-прелистувачи кои користат вештачка интелигенција (AI) за автономно да извршуваат активности на повеќе веб-страници во име на корисникот можат да бидат тренирани и измамени да паднат во фишинг и измамнички стапици.

Во суштина, нападот ја искористува тенденцијата на AI прелистувачите да ги објаснуваат своите постапки, а токму тоа се користи против самиот модел за да се намалат неговите безбедносни заштитни механизми (guardrails), според извештај на Guardio споделен со The Hacker News пред објавувањето.

„AI сега работи во реално време, во хаотични и динамични веб-страници, додека постојано бара информации, носи одлуки и ги објаснува своите активности. Но ‘објаснува’ е благ збор – всушност премногу зборува,“ изјави безбедносниот истражувач Shaked Chen.

„Ова го нарекуваме Agentic Blabbering: AI прелистувачот открива што гледа, што мисли дека се случува, што планира да направи следно и кои сигнали ги смета за сомнителни или безбедни.“

Со пресретнување на сообраќајот помеѓу прелистувачот и AI сервисите што работат на серверите на производителот и со негово внесување како податок во Generative Adversarial Network (GAN), Guardio успеал да го натера Perplexity Comet AI Browser да стане жртва на фишинг измама за помалку од четири минути.

Истражувањето се надоврзува на претходни техники како VibeScamming и Scamlexity, кои покажаа дека платформите за vibe-coding и AI прелистувачите можат да бидат наведени да генерираат измамнички страници или да извршат злонамерни активности преку скриени prompt-injection напади.

Со други зборови, кога AI агентот ги извршува задачите без постојан човечки надзор, се појавува нова површина за напад: измамата повеќе не мора да го измами корисникот – целта станува самиот AI модел.

„Ако можете да видите што агентот означува како сомнително, каде се двоуми и, уште поважно, што мисли и ‘раскажува’ за страницата, тоа може да се користи како сигнал за тренинг,“ објасни Chen.

„Измамата се развива сè додека AI прелистувачот сигурно не влезе во стапицата што ја поставила друга AI.“

Идејата, накратко, е да се изгради „машина за измами“ која постојано ќе ја оптимизира и повторно ќе ја генерира фишинг страницата сè додека agentic прелистувачот не престане да се жали и не продолжи да ги извршува инструкциите на напаѓачот – на пример, внесување на кориснички креденцијали на лажна веб-страница дизајнирана за refund scam измама.

Она што го прави овој напад интересен и опасен е фактот дека штом измамникот ќе ја усоврши страницата така што ќе функционира против одреден AI прелистувач, таа ќе работи против сите корисници кои го користат истиот агент. Со други зборови, целта се префрла од човекот кон AI прелистувачот.

„Ова ја открива непријатната блиска иднина со која ќе се соочиме: измамите повеќе нема само да се лансираат и прилагодуваат во реално време на интернет, туку ќе се тренираат офлајн против точниот модел на кој се потпираат милиони корисници, сè додека не функционираат совршено уште при првиот контакт,“ соопшти Guardio.
„Бидејќи кога вашиот AI прелистувач објаснува зошто запрел, тој всушност ги учи напаѓачите како да ја заобиколат заштитата.“

Откритието доаѓа откако компанијата Trail of Bits демонстрираше четири техники на prompt injection против Perplexity Comet AI Browser за извлекување на приватни податоци на корисници од сервиси како Gmail. Ова се постигнува преку злоупотреба на AI асистентот на прелистувачот, кој ги испраќа украдените податоци до сервер на напаѓачот кога корисникот ќе побара резиме на веб-страница што е под контрола на напаѓачот.

Минатата недела, Zenity Labs опиша и две zero-click напади што го погодуваат Comet. Тие користат индиректен prompt injection вграден во покани за состаноци за:

  • извлекување локални датотеки на корисникот кон надворешен сервер (познато како PerplexedComet)
  • или преземање контрола врз сметката на корисникот во 1Password, ако екстензијата е инсталирана и отклучена

Овие проблеми, заеднички наречени PerplexedBrowser, во меѓувреме се поправени од компанијата Perplexity AI.

Нападите се изведуваат преку техника на prompt injection наречена intent collision, која се случува:

кога AI агентот комбинира легитимно барање од корисникот со инструкции контролирани од напаѓачот од недоверливи веб-податоци во еден план за извршување, без сигурен начин да ги разликува двете.

Нападите со prompt injection остануваат фундаментален безбедносен проблем за Large Language Models (LLM) и за нивната интеграција во организациски работни процеси, главно затоа што целосното елиминирање на овие ранливости можеби не е возможно.

Во декември 2025 година, OpenAI истакна дека ваквите слабости „веројатно никогаш нема целосно да се решат“ кај agentic прелистувачите. Сепак, ризикот може да се намали со:

  • автоматско откривање на напади
  • adversarial training (тренирање против злонамерни сценарија)
  • нови системски безбедносни механизми.

Извори:

  • The Hacker News – Researchers Trick Perplexity’s Comet AI Browser Into Phishing Scam in Under Four Minutes The Hacker News