Zbliżamy się do końca roku, wiele osób porządkuje swoje dane, a świąteczne porządki obejmują również cyfrowe foldery. Jednak nowa analiza STAR Labs ujawnia, że korzystanie z agentów AI w przeglądarkach, takich jak Perplexity Comet, może nieść poważne ryzyko utraty danych. Badacze pokazują, że jeden przyjazny e-mail może uruchomić tzw. zero-click Google Drive wipe, czyli automatyczne usunięcie plików w Google Drive bez żadnej interakcji użytkownika.
Jak działa atak?
Atak działa w sposób zaskakująco prosty i groźny. Użytkownik korzysta z przeglądarki, która ma dostęp do Gmaila i Google Drive, aby zautomatyzować porządkowanie danych – np. sortowanie wiadomości, katalogowanie plików czy kasowanie niepotrzebnych dokumentów. Wystarczy, że użytkownik wyda ogólne polecenie typu: „Sprawdź mój e-mail i wykonaj wszystkie zadania organizacyjne”. Agent rozpoczyna wtedy działanie zgodnie z instrukcjami, jakie znajdzie w skrzynce odbiorczej.
Problem pojawia się, gdy atakujący wyśle specjalnie spreparowanego e-maila. Może on wyglądać jak uprzejma wiadomość od współpracownika i zawierać prośby w stylu: „Zorganizuj swój dysk”, „Usuń pliki lub określone typy plików, np. ZIP lub DMG” czy „Sprawdź zmiany i potwierdź, że wszystko wygląda porządnie”. W tym scenariuszu agent traktuje polecenia jako normalne zadania organizacyjne i wykonuje je automatycznie, bez dodatkowego potwierdzenia. Efekt jest dramatyczny – wszystkie wskazane pliki trafiają do kosza, co w przypadku folderów współdzielonych może spowodować utratę istotnych danych.
Co wyróżnia ten atak, to fakt, że nie używa on tradycyjnych metod socjotechnicznych, takich jak linki phishingowe czy jawne polecenia w stylu „usuń wszystko”. Wszystko opiera się na uprzejmym tonie i dobrze sformułowanych sekwencjach zadań. Badacze STAR Labs zauważyli, że model AI jest bardziej skłonny wykonywać polecenia, które są przedstawione krok po kroku i w formie „grzecznej prośby”. Frazy typu „proszę się tym zająć” czy „uprzejmie poproszę o wykonanie” nie wzbudzają podejrzeń, a agent realizuje zadania w pełni.
Dlaczego to ważne dla firm i użytkowników indywidualnych?
Po pierwsze, naturalny język może omijać tradycyjne filtry antyspamowe. Polecenia ukryte w uprzejmej wiadomości mogą sterować agentem AI podłączonym do Gmaila i Google Drive, nawet jeśli sam e-mail wygląda na niewinny. Po drugie, wiele zabezpieczeń koncentruje się na samym modelu, a nie na działaniach narzędzi, które model może wykonać. Nawet jeśli AI jest zabezpieczone przed komendami typu „usuń wszystkie dokumenty”, to te same instrukcje mogą zostać przekazane w uprzejmym kontekście, który nie zostanie zablokowany.
Z punktu widzenia bezpieczeństwa, ten typ ataku oznacza, że zero-click data loss przestaje być teorią. Użytkownik nie musi klikać w złośliwy link ani otwierać podejrzanych załączników – wystarczy zaufać agentowi, że „wykona moje zadania porządkowe”. Szczególnie niebezpieczne jest to w środowiskach współdzielonych: gdy agent ma dostęp OAuth do wielu kont i folderów zespołowych, niekontrolowane polecenia mogą rozprzestrzeniać się bardzo szybko.
Jak można się przed tym bronić?
STAR Labs zaleca traktowanie agentów AI i ich konektorów do usług chmurowych jako wysokiego ryzyka automatyzacji. Praktyczne działania obejmują ograniczenie destrukcyjnych operacji, np. uniemożliwienie masowego kasowania plików, opróżniania kosza czy masowej zmiany nazw. Warto również wprowadzić system powiadomień i potwierdzeń dla krytycznych operacji oraz śledzić działania agentów w czasie rzeczywistym. Firmy powinny rozważyć dodatkowe warstwy kontroli, takie jak monitorowanie OAuth i ograniczenie dostępu tylko do niezbędnych zasobów.
Kolejnym istotnym wnioskiem z badania jest to, że ton i sekwencja poleceń mają wpływ na działanie AI. Uprzejme, grzeczne polecenia mogą nieświadomie wprowadzać ryzyko, dlatego przy projektowaniu obiegów opartych na agentach warto testować, jak różne formy instrukcji są interpretowane przez system. Świadomość tych subtelności może zapobiec katastrofom cyfrowym podobnym do zero-click wipe.
Wnioski
W skrócie, historia Perplexity Comet uczy nas kilku ważnych rzeczy. Po pierwsze, nawet codzienne, pozornie nieszkodliwe działania mogą być źródłem poważnych zagrożeń, jeśli w grę wchodzą AI-agentowe przeglądarki. Po drugie, bezpieczeństwo danych w chmurze wymaga nowego podejścia – nie wystarczą tradycyjne filtry spamowe i standardowe uprawnienia użytkowników. Po trzecie, edukacja zespołów IT i użytkowników końcowych w zakresie zachowania ostrożności wobec automatycznych asystentów AI jest kluczowa.
Na koniec warto podkreślić, że ryzyko nie oznacza, że korzystanie z agentów AI jest z góry niebezpieczne. Przeciwnie – przy odpowiednich ograniczeniach, monitoringu i procedurach bezpieczeństwa, narzędzia takie jak Perplexity Comet mogą zwiększyć produktywność. Kluczowe jest jednak świadome zarządzanie dostępem i działaniami AI, by uniknąć sytuacji, w których jeden przyjazny e-mail może zniszczyć godziny pracy i cenne dane.
| Źródła |
|---|
|
|
Słyszałeś o Shadow AI? Chciałbyś dowiedzieć się więcej o wdrożeniu mechanizmów zabezpieczających Shadow AI?
Już teraz możesz omówić to z zespołem Cloudcomp.pl. Bez zobowiązań.
Porozmawiajmy
