رادار تكنولوژي

هشتگ بازی: چطوری مرورگرهای هوش مصنوعی با یه هشتگ ساده هک میشن!

  • ۸ آذر ۱۴۰۴

امروز میخوام یه داستان جالب و شاید یه کم ترسناک براتون تعریف کنم درباره این مرورگرهای جدید هوش مصنوعی (همون AI browsers که کلی بهشون سر و صداست). ظاهراً همین مرورگرها خیلی راحت‌تر از اون چیزی که فکرشو می‌کردیم، با یه تیکه کوچیک تو لینک سایت می‌تونن هک بشن!

حالا داستان چیه؟ یه سری محقق توی شرکت Cato Networks یه روشی پیدا کردن به اسم HashJack (هاش‌جک، یعنی بازی با اون تیکه‌هایی که بعد از هشتگ # توی یه لینک وارد میشه). ببین چه جالبه: شما میری یه سایت عادی، بدون اینکه اصلاً چیزی ببینی، اما تو همون لینک بعد از # (هشتگ) یه چیزی مخفی کردن که فقط اون دستیار هوش مصنوعی (AI Assistant) داخل مرورگر می‌فهمه و اجراش میکنه. یعنی کاربر که شمایی، هیچی نمی‌بینی، حتی سرور سایت هم نمی‌فهمه، اما دستیار مرورگر داره به فرمان اون هشتگ مخفی، کارهایی رو خودش انجام می‌ده!

مثلاً چی کارها؟

  • بعضی دستیارها (همون AI assistants) خودشون ناباورانه شروع می‌کنن داده‌های کاربر رو به سرورهای دیگه‌ای انتقال میدن! خارجی‌هایی که متعلق به هکر هستن!
  • بعضیا راهنمایی‌های اشتباه بهت میدن یا حتی لینک‌های فیک و شبیه لینک واقعی نشون میدن. یعنی فکر می‌کنی همه چی سر جاشه، ولی ممکنه راحت گولت بزنن!
  • جالبیش اینجاست که صفحه وبسایت کاملاً طبیعیه ولی فقط جواب‌ها یا رفتار دستیار تغییر کرده. پس اصلاً متوجه چیزی نمی‌شی مگر اینکه جواب‌های خودش رو دونه‌دونه نگاه کنی.

این ضعف جدید باعث شده کلی شرکت فناوری به فکر بیفتن. بعضیا فوراً بروزرسانی دادن به سیستمشون، ولی یه عده هم گفتن این رفتارش طبیعی بوده طبق برناه‌نویسی اولیه‌شون! خلاصه هر شرکتی یه جوری واکنش نشون داده.

چرا این باگ خیلی مهمه؟ چون ابزارهای امنیتی عادی (مثل اون نرم‌افزارهای شبکه که ترافیک رو بررسی می‌کنن) اصلاً نمی‌تونن این تیکه‌های بعد از هشتگ رو ببینن؛ چون اینا فقط روی دستگاه خودکاربر اجرا میشن. پس دفاع کردن جلوش فقط با آنتی‌ویروس و فایروال معمولی کافیه؟ نه بابا! باید دقیق‌تر ببینن دستیارها چطور این اطلاعات مخفی رو می‌خونن و پردازش می‌کنن.

خلاصه بخوام جمع بندی کنم:

  • HashJack نشون داد وبسایت‌های کاملاً واقعی رو هم میشه با هاشون سوءاستفاده کرد و ردپایی هم باقی نمیمونه.
  • پس قدیمی‌ترین سیستم‌های امنیتی به این راحتی جلودارش نمی‌شن.
  • سازمان‌ها و حتی افراد عادی باید بفهمن این موضوع جدیه و نباید فقط به روشای قدیمی اکتفا کنن.

خب حالا چیکار کنیم تا امنیت‌مون حفظ بشه؟ این پیشنهادها رو حتماً جدی بگیر:

  • اطلاعات شخصی رو تا جای ممکن تو فضای مجازی منتشر نکنید.
  • حساب‌های بانکی‌تون رو هر چندوقت یه بار چک کنید ببینید چیزی مشکوک نیست.
  • همیشه رمزهای قوی و غیرتکراری بذارید.
  • حواستون خیلی جمع باشه موقعی که می‌خواید وارد سایتی بشید که مثلاً لاگین داره؛ آدرسشو کامل چک کنید.
  • اگر یه پیام یا تماس مشکوک با ادعای بانکی داشتن حتماً بیشتر دقت کنید.
  • حتماً روی گوشی یا کامپیوتر، آنتی‌ویروس و فایروال فعال داشته باشید (فایروال یعنی یه دیوار دفاعی نرم‌افزاری که جلوی دسترسی غیرمجاز به دستگاه شما رو می‌گیره).
  • سرویس حفاظت از سرقت هویت (Identity theft protection) رو اگه می‌تونی فعال کن؛ کارش اینه که اطلاعاتت رو تو اینترنت لگو می‌گیره ببینه دزدیده نشده باشه.
  • در نهایت بدون که هکرها و حملات پیشرفته‌تر مخصوصاً مبتنی بر هوش مصنوعی همیشه هستن و باید هوشیار بمونی.
  • این قدم‌ها فقط زمانی واقعاً اثر دارن که همه‌جا و برای همه دیوایس‌هات رعایتش کنی.

حواستون جمع باشه! امنیت تو این روزای دیجیتال حرف اول رو می‌زنه، مخصوصاً وقتی پای هوش مصنوعی‌ها وسط باشه که خیلی از پشت پرده می‌تونن یه کارایی بکنن که عمراً بفهمی!

اگه از خبرهای جدید تکنولوژی خوشت میاد با تک‌رادار همراه باش، تو اخبار و شبکه‌های اجتماعی مثل تیک‌تاک و واتساپ هم پیداشون می‌کنی! 😉

منبع: +