Μια νέου είδους κρίσιμη ευπάθεια, η οποία ονομάστηκε «Man-in-the-Prompt» σαν παραλλαγή του όρου "Man-in-the-Middle", απειλεί πλέον δημοφιλή εργαλεία τεχνητής νοημοσύνης όπως το ChatGPT, το Google Gemini και άλλες εσωτερικές αναπτύξεις Μεγάλων Γλωσσικών Μοντέλων (LLM) Τεχνητής Νοημοσύνης.
Έρευνα της LayerX, που δημοσιεύθηκε στις 29 Ιουλίου 2025, περιγράφει λεπτομερώς πώς κακόβουλες επεκτάσεις προγραμμάτων περιήγησης αξιοποιούν το Μοντέλο Αντικειμένων Εγγράφου (DOM) για να εισάγουν προτροπές, να αποκτούν παράνομα ευαίσθητα δεδομένα και να αλλοιώνουν τις απαντήσεις της τεχνητής νοημοσύνης, όλα αυτά χωρίς να απαιτούνται ειδικά δικαιώματα. Αυτή η ευπάθεια ενέχει κίνδυνο για δισεκατομμύρια χρήστες σε εξέχουσες πλατφόρμες. Εμπιστευτικά εταιρικά δεδομένα τεχνητής νοημοσύνης θα μπορούσαν να εκτεθούν, καθώς τα υπάρχοντα μέτρα ασφαλείας αποδεικνύονται ανεπαρκή για την ανίχνευση αυτών των επιθέσεων.
Εκμετάλλευση Επεκτάσεων Προγράμματος Περιήγησης Στοχεύει τις Προτροπές Τεχνητής Νοημοσύνης του Προγράμματος Περιήγησης
Η ρίζα αυτής της ευπάθειας έγκειται στη μέθοδο ενσωμάτωσης των εργαλείων παραγωγικής τεχνητής νοημοσύνης με τα προγράμματα περιήγησης ιστού, συγκεκριμένα μέσω της χειραγώγησης του Μοντέλου Αντικειμένων Εγγράφου (DOM). Κατά την αλληλεπίδραση του χρήστη με βοηθούς που βασίζονται σε LLM, τα πεδία εισόδου προτροπών γίνονται εύκολα προσβάσιμα σε οποιαδήποτε επέκταση προγράμματος περιήγησης που διαθέτει ακόμα και στοιχειώδεις δυνατότητες σεναρίων.
Αυτός ο εγγενής αρχιτεκτονικός σχεδιαστικός ελάττωμα επιτρέπει σε κακόβουλους παράγοντες να εκτελέσουν επιθέσεις εισαγωγής προτροπών (prompt injection), είτε τροποποιώντας νόμιμες εισόδους χρήστη είτε ενσωματώνοντας κρυφές οδηγίες απευθείας εντός της διεπαφής της τεχνητής νοημοσύνης. Κατά συνέπεια, η εκμετάλλευση δημιουργεί ένα σενάριο «man-in-the-prompt», δίνοντας τη δυνατότητα στους επιτιθέμενους να διαβάζουν και να γράφουν στις προτροπές της τεχνητής νοημοσύνης χωρίς να εντοπίζονται.
Αποδείχθηκε ότι οι επεκτάσεις προγραμμάτων περιήγησης, ακόμη και εκείνες που λειτουργούν χωρίς ειδικά δικαιώματα, μπορούν να αποκτήσουν πρόσβαση σε ευρέως χρησιμοποιούμενα LLM όπως τα ChatGPT, Gemini, Copilot, Claude και Deepseek. Αυτός ο φορέας επίθεσης είναι ιδιαίτερα ανησυχητικός δεδομένου ότι σχεδόν όλοι οι εταιρικοί χρήστες χρησιμοποιούν τουλάχιστον μία επέκταση προγράμματος περιήγησης.
Οι τρέχουσες λύσεις ασφαλείας δεν διαθέτουν την απαραίτητη κάλυψη των αλληλεπιδράσεων σε επίπεδο DOM, καθιστώντας τις έτσι αναποτελεσματικές έναντι αυτής της συγκεκριμένης μεθοδολογίας επίθεσης.
Αντιμετώπιση του Κινδύνου
Ο αντίκτυπος στις εταιρείες μπορεί να είναι σημαντικός εάν χρησιμοποιούνται εσωτερικά LLM, καθώς συνήθως έχουν εκπαιδευτεί με ιδιόκτητα εμπιστευτικά δεδομένα. Επίσης, αυτά τα εσωτερικά LLM, που συνήθως βασίζονται σε μοντέλα ανοιχτού κώδικα, δεν διαθέτουν πάντα τις απαραίτητες διασφαλίσεις για να αποτρέψουν το LLM από το να ανταποκρίνεται σε ακατάλληλες προτροπές.
Ως εκ τούτου, οι εσωτερικές ομάδες ασφάλειας πληροφοριών θα πρέπει να σχεδιάσουν την ενίσχυση των υφιστάμενων ελέγχων ασφάλειας δεδομένων και σε επίπεδο εφαρμογών για την αντιμετώπιση και της συμπεριφοράς του προγράμματος περιήγησης. Αυτά θα μπορούσαν να περιλαμβάνουν τη συνεχή παρακολούθηση της δραστηριότητας του Μοντέλου Αντικειμένων Εγγράφου (DOM), την υιοθέτηση αξιολόγησης κινδύνου για τις επεκτάσεις του προγράμματος περιήγησης που εκτείνεται πέρα από την ανάλυση στατικών δικαιωμάτων και την πρόληψη της παραποίησης προτροπών μέσω προστασίας σε πραγματικό χρόνο στο επίπεδο του προγράμματος περιήγησης.