نص خبر ـ متابعة
كشف النقاب عن الهجوم الإلكتروني الجديد
كشف باحثون في الأمن السيبراني عن هجوم جديد يُعرف باسم CometJacking يستهدف متصفح الذكاء الاصطناعي Comet من شركة Perplexity، حيث يمكن لمجرمي الإنترنت زرع أوامر خبيثة داخل روابط تبدو عادية، لتحويل المتصفح إلى أداة لسرقة البيانات الحساسة من خدمات متصلة مثل البريد الإلكتروني والتقويم.
آلية عمل الهجوم
بحسب تقرير صادر عن شركة LayerX الأمنية، فإن هذا الهجوم يقوم على حقن أوامر (Prompt Injection) داخل رابط واحد فقط، بحيث يؤدي النقر عليه إلى تنفيذ أوامر سرية داخل المتصفح دون علم المستخدم. وقالت ميشيل ليفي، رئيسة قسم أبحاث الأمن في LayerX: “هجوم CometJacking يُظهر كيف يمكن لرابط واحد مُعد بعناية أن يحوّل متصفح الذكاء الاصطناعي من مساعد موثوق إلى تهديد داخلي فعلي”.
من المساعد الذكي إلى المتجسس الخفي
يستغل المهاجمون قدرة المتصفح على الوصول المصرّح به لخدمات المستخدم مثل “جيميل” و”Calendar”، مما يُمكّنهم من سحب البيانات مباشرة دون الحاجة لسرقة كلمات المرور. ويعتمد الهجوم على تشويش البيانات باستخدام ترميز Base64 لتفادي أنظمة الحماية، قبل إرسالها إلى خوادم يسيطر عليها المهاجمون.
رد فعل شركة Perplexity
ورغم أن شركة Perplexity صنّفت الثغرة على أنها “منخفضة التأثير”، إلا أن الباحثين يؤكدون أنها تكشف ثغرة جوهرية في تصميم المتصفحات المعتمدة على الذكاء الاصطناعي، إذ يمكن تجاوز الدفاعات التقليدية بسهولة وتحويل الذكاء الاصطناعي نفسه إلى وسيلة للاختراق.
تحذيرات أمنية عاجلة
وقال أور إيشد، الرئيس التنفيذي لشركة LayerX: “المتصفحات المعتمدة على الذكاء الاصطناعي أصبحت ساحة المعركة القادمة للأمن السيبراني. عندما يتمكن المهاجم من توجيه مساعدك الذكي عبر رابط، يتحوّل المتصفح إلى مركز تحكم داخل حدود الشركة”. وحذّر إيشد من أن المؤسسات يجب أن تعيد النظر فورًا في آليات الحماية الخاصة بالمتصفحات الذكية.