BioShocking : une attaque trompe les navigateurs IA pour voler vos identifiants
Des chercheurs de la société LayerX ont mis au point une technique baptisée BioShocking, capable de piéger six navigateurs et assistants basés sur l'intelligence artificielle pour leur faire divulguer les identifiants de connexion d'un utilisateur. Le principe repose sur une manipulation contextuelle : convaincre le navigateur IA qu'il participe à un jeu, ce qui l'amène à copier et transmettre les credentials à un attaquant. Parmi les cibles identifiées figurent ChatGPT Atlas d'OpenAI, Comet de Perplexity et l'extension de navigateur Claude d'Anthropic. Cette découverte soulève des questions sérieuses quant à la sécurité des outils IA intégrés aux environnements de navigation, notamment dans un contexte professionnel où ces assistants accèdent à des ressources sensibles.
Des chercheurs de la société de cybersécurité LayerX ont démontré une nouvelle technique d'attaque, baptisée BioShocking, permettant de manipuler des navigateurs et assistants basés sur l'intelligence artificielle afin qu'ils transmettent les identifiants de connexion d'un utilisateur à un acteur malveillant. La méthode consiste à simuler un contexte ludique pour tromper le moteur IA, qui copie alors les credentials et les envoie vers une destination contrôlée par l'attaquant. Parmi les produits concernés figurent ChatGPT Atlas d'OpenAI, Comet de Perplexity et l'extension Claude d'Anthropic.
Impacts pour les organisations- Vol potentiel d'identifiants professionnels via des outils IA intégrés au navigateur
- Exploitation de la confiance accordée aux assistants IA pour contourner les défenses classiques
- Surface d'attaque élargie avec la multiplication des extensions IA dans les environnements de travail
- Nécessité de réévaluer les politiques d'autorisation des extensions IA sur les postes sensibles
Source : The Hacker News