セキュリティ企業SquareXは、ブラウザのコードを変更せずに偽のAIサイドバーを使用してパスワードを盗むスプーフィング手法を明らかにした。この方法は従来のウイルス対策防御を回避し、OpenAIの新Atlasなどのブラウザを脅かす。この攻撃は、ユーザーが正当なAIアシスタントとやり取りしていると信じ込ませる。
SquareXは、サイバーセキュリティ企業として、AI統合ブラウザを標的とした新しいスプーフィングのトリックを公開した。彼らの調査によると、攻撃者は正当なチャットインターフェースを模倣した偽のAIサイドバーを作成し、ユーザーがアシスタントと会話していると思い込みながらパスワードを入力させる。
この脆弱性は特に懸念されるべきもので、スプーフィング手法はブラウザのコードを一切変更せず、アンチウイルスソフトウェアによる検知を回避する。これにより、攻撃はブラウザ環境内でステルス的に動作し、セキュリティアラートを誘発しない。
OpenAIが最近発売したAtlasブラウザが脆弱として挙げられているが、SquareXはそれだけではないと指摘—類似の他のブラウザもこれらの危険なスプーフィング攻撃の同じリスクにさらされている。この暴露は、ウェブブラウジングにおけるAI機能の採用が拡大する中で起こり、そんな統合のセキュリティに関する疑問を投げかけている。
発見の具体的なタイムラインは提供されていないが、報告書はAI駆動インターフェースにおけるコード非変更脅威に対する強化された防御の必要性を強調している。