كيف يستهدف الهاكرز سرقة البيانات عبر متصفحات الويب الذكية؟
لم تعد
متصفحات الويب مجرد أداةً لعرض الصفحات فقط بل أصبحت أنظمة ذكية قادرة على
القراءة والفهم والتنفيذ والتفاعل مع المواقع نيابة عن المستخدم إلا أن هذه
الطفرة كشفت عن جانب مظلم يتمثل في ثغرات أمنية خطيرة تهدد خصوصية المستخدمين وتهدد افتراضات الأمان التقليدية على الويب.
وكشفت سلسلة
دراسات بحثية نشرتها شركتا
Brave Software و NeuralTrust خلال عام 2025 عدد من نقاط الضعف الجوهرية
في ما يعرف بـ"المتصفحات الوكيلة"
Agentic Browsers وهي المتصفحات التي تسمح لوكلاء الذكاء الاصطناعي باتخاذ قرارات
وتنفيذ أوامر بالنيابة عن المستخدمين. وأظهرت الأبحاث أن هذه
الأنظمة الذكية رغم كونها ابتكاراً تقنياً كبيراً ربما تتحول إلى أدوات يمكن
استغلالها بسهولة لسرقة البيانات أو تنفيذ هجمات خفية دون علم المستخدم.
وأعلن فريق الأمن السيبراني في شركة تطویر متصفح الويب Braveاكتشاف ثغرة خطيرة في متصفح Opera Neon الوكيلي تسمح للمهاجمين بتنفيذ ما يعرف بهجمات حقن الأوامر غير المباشرة (Indirect Prompt Injection).
تعمل هذه
الهجمات من خلال إخفاء تعليمات نصية داخل عناصر HTML غير مرئية
للمستخدم، مثل سطور النصوص ذات الشفافية الكاملة أو العناصر غير المعروضة بصرياً
في الصفحة.فعلى سبيل المثال ربما يضيف المهاجم كود في الصفحة على هيئة عنصر غير مرئي تماماً أمام
المستخدم لكن المساعد الذكي يستطيع قراءته في المتصفح عند معالجته محتوى الصفحة.وبناءً على ذلك فإن مجرد طلب المستخدم من المساعد تلخيص
الصفحة أو تحليلها يكفي لتفعيل التعليمات المخفية فيزور الذكاء الاصطناعي من
تلقاء نفسه صفحة حساب المستخدم واستخراج بريده الإلكتروني ثم إرساله إلى خادم
خارجي يخص المهاجم.
وأوضح التقرير أن الهجوم ذاته يمكن أن يُستخدم للوصول إلى بيانات أكثر حساسية، مثل تفاصيل البطاقات البنكية إذا كان المستخدم سجّل دخوله مسبقاً إلى حساباته المالية في نفس جلسة التصفح وجرى إبلاغ شركة Opera بالثغرة في 14 أكتوبر الماضي عبر منصة Bugcrowd إلا أن البلاغ أُغلق في البداية بوصفه غير منطبق قبل أن تعيد الشركة فتح التحقيق في 20 أكتوبر بعد مراجعة النتائج وتؤكد في 21 أكتوبر أنها أصدرت تحديثاً يعالج المشكلة وفي 23 أكتوبر، نشرت Opera التفاصيل الكاملة عن الثغرة والإصلاح الذي جرى تطبيقه بعد التحقق من فاعليته بالتعاون مع فريق Brave الأمني.
ليست هناك تعليقات:
إرسال تعليق