أطلق باحثون في مجال الأمن السيبراني تحذيرات عاجلة بشأن نوع جديد من الهجمات الرقمية يُعرف باسم "CometJacking"، يستهدف متصفح الذكاء الاصطناعي Comet الذي تطوّره شركة Perplexity.
ويعتمد هذا الهجوم على استغلال قدرات المتصفح في تنفيذ الأوامر الذكية، وتحويله إلى أداة خفية لجمع وسرقة البيانات الحساسة من خدمات المستخدم، مثل البريد الإلكتروني والتقويم.
إقرأ ايضاً:خطة سرية من خيسوس تهز ميركاتو دوري روشن.. صفقة أوروبية تقترب من النصرموسم الرياض 2025.. كيف يسهم الترفيه في تحفيز الاقتصاد الوطني وخلق فرص غير مسبوقة
ووفقًا لتقرير تقني صادر عن شركة LayerX للأمن المعلوماتي، فإن الهجوم يتم من خلال ما يُعرف بـ حقن الأوامر (Prompt Injection) داخل رابط واحد فقط. فعند نقر المستخدم على الرابط، يتم تنفيذ تعليمات خفية داخل المتصفح دون علمه، ما يتيح للقراصنة الوصول إلى بيانات المستخدم المخزّنة في حساباته المرتبطة بالمتصفح.
وقالت ميشيل ليفي، رئيسة قسم أبحاث الأمن في الشركة، إن "هجوم CometJacking يوضح كيف يمكن لرابط بسيط ومُعد بعناية أن يحوّل مساعد الذكاء الاصطناعي من أداة إنتاجية إلى خطر أمني داخلي حقيقي".
ويستغل المهاجمون ثقة المستخدمين في متصفحات الذكاء الاصطناعي، حيث يمتلك المتصفح صلاحيات مباشرة للوصول إلى حسابات مثل Gmail وGoogle Calendar، مما يتيح نقل البيانات بشكل مباشر دون الحاجة إلى سرقة كلمات المرور. وتُستخدم تقنيات تشفير مثل Base64 لإخفاء محتوى البيانات المسروقة وتجاوز أنظمة الحماية التقليدية، قبل إرسالها إلى خوادم يسيطر عليها المهاجمون.
ويتم تنفيذ الهجوم في خمس مراحل تبدأ بمجرد النقر على الرابط الخبيث، سواء من خلال رسالة تصيّد إلكتروني أو موقع ويب مزيّف، ليقوم الرابط بإرسال أوامر ذكية للمتصفح لجمع المعلومات وإرسالها إلى الخارج.
ورغم أن شركة Perplexity قللت من خطورة الثغرة ووصفتها بأنها "منخفضة التأثير"، إلا أن باحثي LayerX يرون أن الأمر أخطر مما يبدو، إذ يكشف عن ضعف جوهري في تصميم المتصفحات المدعومة بالذكاء الاصطناعي، والتي يمكن تحويلها بسهولة إلى أدوات اختراق داخل بيئات العمل.
وأشار أور إيشد، الرئيس التنفيذي لـ LayerX، إلى أن المتصفحات الذكية تمثل "ساحة المعركة القادمة في عالم الأمن السيبراني"، موضحًا أن اختراق مساعد ذكي يعني السيطرة على نقطة مركزية داخل أنظمة الشركات. كما دعا المؤسسات إلى تحديث سياسات الأمان فورًا، ومنع تنفيذ الأوامر الخبيثة داخل وكلاء الذكاء الاصطناعي، قبل أن تتحول مثل هذه الهجمات إلى موجة عالمية يصعب السيطرة عليها.
ويُذكر أن هجومًا مشابهًا وقع عام 2020 تحت اسم Scamlexity، واستغل آنذاك متصفحات ذكية لخداع المستخدمين والدخول إلى حساباتهم دون علمهم. ومع تصاعد استخدام الذكاء الاصطناعي في المتصفحات، يبدو أن الأمن السيبراني يدخل مرحلة جديدة عنوانها: “المتصفح الذكي.. الصديق الذي قد يتحول إلى أخطر خصم”.
