„Man in the Prompt“: Nevidljivi napad koji pretvara ChatGPT i Google Gemini u „kopilote hakovanja“

Vesti, 04.08.2025, 11:00 AM

Nova metoda sajber napada, nazvana „Man in the Prompt“, otkriva ozbiljnu ranjivost u načinu na koji najpopularniji AI alati funkcionišu u veb pregledačima. Istraživačka firma LayerX upozorava da napadači mogu da koriste zlonamerne ili kompromitovane ekstenzije veb pregledača kako bi potajno manipulisali onim što korisnici upisuju u AI alate poput ChatGPT ili Google Gemini, a da korisnici to i ne primete.

Kako funkcioniše napad?

Većina generativnih AI alata radi u okviru pregledača, a polje za unos upita je deo tzv. DOM-a (Document Object Model) - strukture same veb stranice. To znači da skoro svaka ekstenzija sa osnovnim pristupom DOM-u može da čita ili menja ono što korisnik unosi, ubacuje skrivene instrukcije, izvlači osetljive podatke iz odgovora ili cele sesije ili potpuno izmeni ponašanje modela.

U suštini, ekstenzija postaje „čovek u sredini“ između korisnika i AI modela.

Šta je najrizičnije?

Korisnici često u AI alate unose poverljive podatke kompanija - interne dokumente, informacije o klijentima, pa čak i podatke za pristup nalozima. U kombinaciji sa činjenicom da mnoge kompanije dozvoljavaju slobodno instaliranje ekstenzija, jedna jedina kompromitovana ekstenzija može postati pretnja za celokupno poslovanje.

„Kako se kompanije sve više oslanjaju na AI alate, ovi LLM-ovi, posebno oni obučeni sa poverljivim informacijama kompanije, mogu biti pretvoreni u „kopilote hakovanja“ za krađu osetljivih korporativnih informacija“, upozorili su istraživači.

LayerX je demonstrirao dokaze o konceptu (proof-of-concept) za najpoznatije LLM platforme.

Za ChatGPT, maliciozna ekstenzija sa minimalnim dozvolama može ubaciti upit, izvući odgovor veštačke inteligencije, pa čak i obrisati istoriju razgovora kako bi prikrila tragove.

Za Google Gemini, napad koristi njegovu integraciju sa Google Workspace-om, pa ekstenzija može doći do podataka iz mejlova, kontakata, dokumenata i deljenih foldera.

Ovaj napad se dešava na nivou DOM-a u veb pregledaču, što znači da klasični sigurnosni alati kao što su DLP sistemi i Secure Web Gateways ne mogu da ga detektuju. Takođe, blokiranje AI alata samo prema URL-u neće zaštititi interne AI implementacije, jer sam napad dolazi „iznutra“.

LayerX savetuje organizacijama da promene pristup, što uključuje nadzor ponašanja u samom veb pregledaču, blokiranje ekstenzija na osnovu njihovog ponašanja a ne samo navedenih dozvola, i sprečavanje neovlašćenog menjanja i krađe podataka u realnom vremenu na nivou pregledača.