Man‑in‑the‑Prompt
A LayerX Security kutatása ismertet egy új, súlyos kiberbiztonsági veszélyt, a Man‑in‑the‑Prompt támadást. Nem a háttérrendszereken vagy API-kon keresztül történik az adatlopás, hanem a böngészőben futó, GenAI-alapú felületek promptbeviteli mezőiben. A sérülékenység lényege, hogy a prompt mező – amelyet a felhasználó ír – a HTML dokumentum része (DOM), így gyakorlatilag bármely, alapszintű DOM-hozzáféréssel rendelkező böngészőbővítmény képes olvasni vagy módosítani azt, még külön engedély nélkül is.
A kutatás során bebizonyították, hogy a támadás működik a legnépszerűbb AI eszközök ellen – mint a ChatGPT, Google Gemini, Copilot, Claude vagy DeepSeek –, és képes automatikusan beilleszteni rejtett utasításokat, amelyek például érzékeny információt kérnek le, illetve kimenettel manipulálnak, miközben az áldozat semmit nem vesz észre.
A kockázat óriási, mert a legtöbb vállalati felhasználó rendelkezik legalább egy böngészőbővítménnyel, sőt az esetek 53%-ában tíz vagy több is telepítve van. Így az üzleti és belső AI használati esetek – például céges promptok, belső ChatGPT-alkalmazások – könnyen válhatnak adatlopási vektorrá anélkül, hogy az SWG vagy DLP megoldások látnák a manipulációt.
Ez a támadás az úgynevezett prompt injection egy új, front-end alapú formája, ahol az input és output viselkedését közvetlenül DOM manipulációval befolyásolják. Nem szükséges valós API-változtatás vagy kódbejutás – a támadó gyakorlatilag a felhasználó saját promptján át juttathat rosszindulatú utasítást a modellbe. Ez kiegészíti és erősíti azokat a promptinjekciós technikákat is, amelyek e-mailekben vagy dokumentumokban elrejtett, manipulatív kódokat használnak (indirect prompt injection).
A védekezéshez a LayerX javasolja, hogy a szervezetek auditálják és minimalizálják a böngészőbővítmények számát és jogait, különösen az AI munkafolyamatoknál. Ugyanakkor előnyben kell részesíteni olyan prompt-architektúrákat, amelyek világosan elkülönítik a rendszer szintű utasításokat az esetleges felhasználói vagy külső bemenetektől. AI-specifikus DLP vagy prompt-monitoring rendszerek alkalmazása kulcsfontosságú, amely képes valós időben felismerni és blokkolni a promptmanipulációkat.
A Man‑in‑the‑Prompt sebezhetőség arra figyelmeztet, hogy a böngészőben futó promptok önmagukban is támadási felületek lehetnek. Ahogy a vállalatok egyre inkább AI-asszisztenseket integrálnak napi folyamataikba, a böngésző biztonságának és kiegészítőinek kontrollja létfontosságú: különösen azokban az esetekben, amikor a modell hozzáfér céges dokumentumokhoz, belső információkhoz vagy érzékeny promptkonstrukciókhoz.