Исследователь Флориан Порт (ERNW) обнаружил критическую уязвимость в интеграции ИИ-чат-ботов в браузере Firefox, которая позволяет проводить атаки типа Prompt Injection для кражи конфиденциальных данных.
Что произошло
Злоумышленники могут использовать атаки типа Prompt Injection через вредоносные HTML-теги на веб-страницах, чтобы перехватить управление ИИ-ассистентом в Firefox. Это позволяет извлекать такие конфиденциальные данные, как 2FA-коды из электронных писем, и незаметно отправлять их на внешние серверы.
Контекст
Проблема заключается в отсутствии четкой границы доверия (trust boundary) при передаче внешних данных, таких как заголовки и содержимое страниц, в промпты, формируемые от имени пользователя. В качестве временной меры Mozilla ограничила длину передаваемых заголовков, однако фундаментальная архитектурная проблема смешивания неконтролируемого веб-контента с системными инструкциями остается нерешенной.
Почему это важно для индустрии
Данный инцидент подсвечивает системный риск для всех разработчиков приложений, использующих LLM для суммаризации или обработки веб-контента. Индустрии необходимо пересмотреть способы передачи контекста и внедрять механизмы изоляции (sandboxing) или специализированные layer-архитектуры (Prompt Guarding) для защиты системных инструкций от внешних данных.
Почему это важно для пользователей
Пользователям Firefox следует проявлять осторожность при использовании встроенных функций ИИ-суммаризации на подозрительных или малоизвестных сайтах. Существует риск компрометации личной переписки и учетных записей через перехват кодов двухфакторной аутентификации.
Источники
Автор
Look at AI, редакция