مرورگرهای هوش مصنوعی عاملی: سهولت، کاربردها و ریسک های امنیتی

مرورگرهای هوش مصنوعی: سهولت و یک ریسک امنیتی پنهان

مرورگرهای هوش مصنوعی عاملی وعده می‌دهند که وظایف تکراری وب را خودکار کنند: خلاصه‌سازی ایمیل‌ها، برنامه‌ریزی سفر، مقایسهٔ محصولات و حتی خرید به نمایندگی از کاربران. این سهولت باعث جلب توجه سریع بازیگران بزرگ فناوری شده است؛ مایکروسافت Copilot را در Edge ادغام کرده، OpenAI در حال آزمایش Operator است و گوگل Project Mariner را توسعه می‌دهد. اما یک تحلیل جدید امنیت سایبری نشان می‌دهد که این دستیارهای خودمختار می‌توانند سطح حملهٔ مؤثری برای کلاهبرداری و فیشینگ شوند.

گزارش Scamlexity از Guardio و آزمایش‌های دنیای واقعی

استارتاپ امنیت سایبری Guardio گزارشی به نام Scamlexity منتشر کرد که بررسی می‌کند مرورگرهای موسوم به عاملی چگونه در مواجهه با کلاهبرداری‌های متداول عمل می‌کنند. تیم روی Perplexity's Comet، که در حال حاضر قابل‌دسترس‌ترین مرورگر عاملی است، تمرکز کرد و آن را در چند حملهٔ ساختگی قرار داد. در یک سناریو پژوهشگران یک سایت خرده‌فروشی جعلی و متقاعدکننده ساختند که از یک برند بزرگ تقلید می‌کرد و به Comet دستور دادند یک ساعت هوشمند بخرد. با وجود نشانه‌های واضح مانند آدرس URL نامتعارف و لوگوی معیوب، هوش مصنوعی تراکنش را کامل کرد و اطلاعات پرداخت را افشا کرد.

در شبیه‌سازی دیگری یک ایمیل فیشینگ با یک لینک مخرب باز شد و Comet اطلاعات ورود بانکی را در صفحهٔ ورود بانکی کلون‌شده وارد کرد. بهره‌برداری سوم از تزریق پرامپت (prompt injection) جاسازی‌شده در یک صفحهٔ وب برای فریب عامل به دانلود فایل استفاده کرد. این آزمایش‌ها روند نگران‌کننده‌ای را نشان می‌دهد: دستیارهای هوش مصنوعی ممکن است در مواجهه با کلاهبرداری‌های کلاسیک حتی از انسان‌ها هم ساده‌لوح‌تر باشند.

چرا هوش مصنوعی عاملی به‌طور ویژه آسیب‌پذیر است

مسئلهٔ اساسی این است که سیستم‌های فعلی هوش مصنوعی عاملی طوری طراحی شده‌اند که دستورها را دنبال و تصمیم‌ها را خودکار کنند، اما از درک زمینه‌ای و خرد متعارف انسانی برای تشخیص فریب برخوردار نیستند. کارهایی که ساده به‌نظر می‌رسند—رفتن به یک وبسایت، خواندن لوگو، تأیید URL—شامل سیگنال‌های ظریفی هستند که ممکن است هوش مصنوعی آن‌ها را نادیده بگیرد یا اشتباه تفسیر کند. تزریق پرامپت، credential stuffing و ویترین‌های فروش جعلی روش‌هایی کم‌هزینه و پُر‌سود برای مهاجمانی هستند که این دستیارها را هدف می‌گیرند.

ویژگی‌های محصول که برای امنیت اهمیت دارند

هنگام ارزیابی مرورگرها و دستیاران هوش مصنوعی، ویژگی‌های امنیتی باید در مرکز توجه باشند. توانایی‌های مهم عبارتند از:

مطلب مرتبط

Read More

تحولات جدید در امنیت سایبری: نقش هوش مصنوعی عامل محور در مقابله با تهدیدات پیشرفته

افزایش فشار در امنیت سایبریبا گسترش تهدیدات پیشرفته، حملات باج‌افزاری، و تکنیک‌های اکسپلویت پیچیده، چشم‌انداز امنیت...

• تشخیص فیشینگ داخلی و تأیید آدرس URL
• سیاست‌های مدیریت اعتبارنامه که مانع ارسال خودکار فرم‌ها می‌شوند
• محافظت در برابر تزریق پرامپت و اجرای ایزوله‌شدهٔ محتوای وب
• گزارش‌های حسابرسی و مراحل تأیید کاربر برای تراکنش‌های مالی

مقایسه: هوش مصنوعی عاملی در برابر کاربران انسانی و مرورگرهای سنتی

در مقایسه با کاربران انسانی، هوش مصنوعی عاملی می‌تواند وظایف را سریع‌تر و در مقیاس انجام دهد، اما اغلب از شک‌گرایی برخوردار نیست. مرورگرهای سنتی برای محافظت به افزونه‌ها و فهرست‌های سیاه مبتنی بر شهرت متکی هستند؛ هوش مصنوعی عاملی نیازمند تشخیص کلاهبرداری یکپارچه و آگاه از زمینه است تا به‌عنوان یک دستیار قابل‌اعتماد عمل کند. در سناریوهای روبه‌رو، هوش مصنوعی ممکن است در پردازش داده‌ها از انسان بهتر عمل کند ولی زمانی که قضاوت و شهود لازم است ضعیف‌تر ظاهر شود.

مزایا و موارد استفادهٔ هوش مصنوعی عاملی—در صورت تأمین امنیت مناسب

با امنیت قوی، مرورگرهای هوش مصنوعی عاملی می‌توانند ارزش واقعی ارائه دهند: خرید خودکار تجارت الکترونیک، رزرو سفر، تجمیع پژوهش و اتوماسیون سازمانی. برای کسب‌وکارها، دستیاران هوش مصنوعی می‌توانند هزینه‌های عملیاتی را کاهش داده و چرخه‌های تهیه را تسریع کنند. برای مصرف‌کنندگان، آن‌ها چندوظیفگی را ساده‌تر و دسترسی‌پذیری را افزایش می‌دهند. اما این مزایا منوط به جای‌گذاری تشخیص کلاهبرداری و مقادیر پیش‌فرض امن در طراحی محصول است.

ارتباط بازار و آنچه فروشندگان باید انجام دهند

فروشندگان بزرگ در حال رقابت برای عرضهٔ ویژگی‌های هوش مصنوعی عاملی هستند، که مسئله را فوری می‌کند. بدون کنترل‌های امنیتی پیش‌دستانه، هوش مصنوعی عاملی می‌تواند به یک بردار حملهٔ جدید و گسترده تبدیل شود که کلاهبرداران از آن سوءاستفاده می‌کنند. توسعه‌دهندگان باید اصول «امن از طراحی» را در اولویت قرار دهند: قواعد هئورستیک فیشینگ را یکپارچه کنند، قبل از تراکنش الزام به تأیید صریح کاربر کنند، ارسال خودکار اعتبارنامه را غیرفعال کنند و محافظت‌های در برابر تزریق پرامپت اجرا کنند. تنظیم‌کننده‌ها و خریداران سازمانی باید پیش از استقرار گسترده شفافیت دربارهٔ تدابیر ایمنی را مطالبه کنند.

توصیه‌های عملی برای کاربران و سازمان‌ها

• احراز هویت دو مرحله‌ای را فعال کنید و ذخیرهٔ اطلاعات پرداخت را در مرورگرهای مجهز به هوش مصنوعی محدود کنید.
• برای خریدها و اقدامات حساس انجام‌شده توسط دستیارهای هوش مصنوعی، تأیید دستی لازم کنید.
• افزونه‌های مرورگر را به‌روز نگه دارید و از ابزارهای تخصصی ضد فیشینگ در کنار هوش مصنوعی عاملی استفاده کنید.
• برای سازمان‌ها، عوامل هوش مصنوعی را در سندباکس قرار داده و مسیرهای حسابرسی برای گردش‌کارهای خودکار را نظارت کنید.

مرورگرهای هوش مصنوعی عاملی جهشی بزرگ در بهره‌وری نمایندگی می‌دهند، اما گزارش Scamlexity از Guardio یادآوری روشنی است که عقب‌ماندن امنیت از نوآوری می‌تواند آسیب‌پذیری‌های پرهزینه‌ای ایجاد کند. با فراگیر شدن دستیارهای هوش مصنوعی، توسعه‌دهندگان، تیم‌های امنیتی و کاربران باید با هم کار کنند تا تشخیص کلاهبرداری و مقادیر پیش‌فرض ایمن را پیش از اینکه سهولت به ضعیف‌ترین نقطه تبدیل شود، در محصول تعبیه کنند.

مطلب مرتبط

Read More

سرمایه گذاری عظیم آمریکا در عملیات تهاجمی امنیت سایبری

افزایش سرمایه‌گذاری در عملیات تهاجمی سایبریبر اساس برنامه جدید و جاه‌طلبانه «یک لایحه بزرگ زیبا» دولت...