پژوهشگران در STAR Labs از کشف یک حمله جدید سایبری خبر دادهاند که میتواند تنها با دریافت یک ایمیل ظاهراً معمولی، تمامی فایلهای Google Drive کاربران را بدون نیاز به کلیک یا تأیید، حذف کند. این حمله که «Zero-Click Google Drive Wiper» نام گرفته، مرورگرهای هوش مصنوعی مانند Comet متعلق به شرکت Perplexity را هدف قرار میدهد.
این مرورگرها برای انجام کارهای خودکار مانند خواندن ایمیلها، مرتبسازی فایلها و مدیریت پوشهها، به Gmail و Google Drive دسترسی کامل دریافت میکنند. طبق گزارش منتشرشده، مهاجمان میتوانند ایمیلی حاوی دستورهای طبیعی و مودبانه ارسال کنند که در ظاهر یک فرآیند عادی پاکسازی و ساماندهی است، اما مرورگر هوش مصنوعی آن را بهعنوان یک وظیفه قانونی اجرا کرده و فایلهای واقعی کاربر را حذف میکند.
این حمله بدون نیاز به تکنیکهایی مانند جیلبریک یا پرامپت اینجکشن انجام میشود و بر «رفتار بیشازحد مستقل» مرورگرهای مجهز به هوش مصنوعی تکیه دارد. محققان هشدار دادهاند که استفاده از عباراتی مثل «لطفاً رسیدگی کن» یا «بهجای من انجام بده» میتواند عامل مرورگر را به اجرای دستورهای مخرب هدایت کند.
همچنین نوع دیگری از حمله با نام HashJack توسط Cato Networks معرفی شده که با پنهانکردن دستورهای مخرب پس از علامت # در یک URL واقعی، مرورگرهای هوش مصنوعی را فریب میدهد. این حمله میتواند از طریق ایمیل، شبکههای اجتماعی یا وبسایتها فعال شود.
بر اساس این گزارش، شرکتهای Perplexity و مایکروسافت برای مرورگرهای خود بهروزرسانی امنیتی منتشر کردهاند، اما گوگل این رفتار را «طبیعی» ارزیابی کرده و آن را در دسته آسیبپذیری امنیتی طبقهبندی نکرده است. پژوهشگران هشدار دادهاند که مرورگرهای عاملمحور، با تبدیل درخواستهای ساده به اقدامات پیچیده، یک کلاس جدید از خطرات «پاککننده بدون کلیک» را ایجاد کردهاند.
کد خبر ۲۰۲۰۴۰۹۱۶.۸۳۱
منبع:هکرنیوز
