Os navegadores AI Atlas, da OpenAI, e Comet, da Perplexity, apresentam vulnerabilidades que permitem ataques de spoofing na barra lateral de inteligência artificial (AI sidebar), levando usuários a seguir instruções maliciosas sem perceber.
Pesquisadores da empresa de segurança browser SquareX desenvolveram um ataque chamado AI Sidebar Spoofing, que afeta as versões mais recentes desses dois navegadores.
Eles identificaram três cenários realistas nos quais um invasor pode explorar essa falha para roubar criptomoedas, acessar contas do Gmail e Google Drive ou até mesmo assumir o controle do dispositivo da vítima.
Atlas e Comet são browsers com agentes de IA que integram grandes modelos de linguagem (LLMs) diretamente em uma barra lateral, permitindo que o usuário interaja com a IA durante a navegação: pedir resumo da página, executar comandos ou automatizar tarefas.
Enquanto o Comet foi lançado em julho, o ChatGPT Atlas para macOS ficou disponível apenas recentemente.
Desde seu lançamento, o Comet já foi alvo de diversas pesquisas que evidenciaram riscos de segurança em determinadas situações.
A descoberta da SquareX revela que, tanto no Comet quanto no Atlas, é possível sobrepor uma barra lateral falsa à legítima por meio de uma extensão maliciosa que injeta JavaScript na página visitada pelo usuário.
Essa barra falsa é idêntica à original, integrando-se perfeitamente à interface e interceptando todas as interações, o que torna o ataque imperceptível para o usuário.
A extensão maliciosa pode inserir esse overlay em qualquer site acessado, bastando para isso possuir permissões comuns, como “host” e “storage” — permissões frequentes em ferramentas populares de produtividade, como Grammarly e gerenciadores de senhas.
Segundo os pesquisadores, “como não há diferença visual nem no fluxo de interação entre a barra lateral verdadeira e a falsificada, o usuário acreditará estar lidando com a interface legítima da AI no navegador”.
Para demonstrar, a SquareX utilizou o Google Gemini AI dentro do Comet com parâmetros manipulados para responder a comandos específicos com instruções maliciosas, gerando ataques como:
- Redirecionamento para páginas de phishing quando o usuário busca por informações relacionadas a criptomoedas.
- Ataques OAuth via apps falsos de compartilhamento de arquivos, para sequestrar contas do Gmail e Google Drive.
- Fornecimento de comandos para instalação de reverse shell em vez do software solicitado pelo usuário.
Na prática, ataques reais podem ampliar significativamente a variedade de comandos que disparam o ataque, induzindo usuários a realizar diversas ações perigosas.
Na época da pesquisa, o navegador Atlas ainda não havia sido lançado, e o AI Sidebar Spoofing foi testado apenas no Comet.
Após o lançamento, os pesquisadores confirmaram que o ataque também funciona no Atlas.
A SquareX entrou em contato com a Perplexity e a OpenAI para alertá-las sobre a vulnerabilidade, mas não obteve retorno.
O BleepingComputer também tentou contato, sem sucesso, até a publicação desta reportagem.
Usuários desses navegadores agentic AI devem estar cientes dos riscos e limitar seu uso a atividades não sensíveis, evitando procedimentos que envolvam e-mails, dados financeiros ou informações privadas.
Embora medidas de segurança sejam adicionadas a cada atualização para mitigar ataques emergentes, esses navegadores ainda não alcançaram um nível de maturidade capaz de reduzir o vetor de ataque a patamares seguros para além da navegação casual.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...