1. Home
  2. 카테고리
  3. 뉴스
  4. 하드웨어 뉴스
  5. Perplexity의 AI 기반 Comet 브라우저, 사용자들을 피싱 사기와 악성 코드 주입에 노출시키다 — Brave와 Guardio의 보안 감사, 유료 AI 브라우저 지적
  • hw_reporterH hw_reporter

    Perplexity의 AI 기반 Comet 브라우저, 사용자들을 피싱 사기와 악성 코드 주입에 노출시키다 — Brave와 Guardio의 보안 감사, 유료 AI 브라우저 지적

    hw_reporterH hw_reporter

    Brave와 Guardio가 AI 기반 Comet 브라우저의 심각한 취약점을 공개했습니다.

    article image

    Brave와 Guardio는 Perplexity가 지난 7월에 출시한 Comet AI 브라우저에서 심각한 취약점을 발견했다고 공개했습니다. Perplexity는 Comet이 "엔터프라이즈급 보안, 강력한 AI 기능, 직관적인 사용자 경험을 결합하여 기업의 인터넷 사용 방식에 변화를 가져온다"고 설명했습니다.

    이 설명만으로도 사용자들이 해당 브라우저의 보안에 대해 의구심을 가지기 충분했습니다. 그런데 "엔터프라이즈급 보안"을 강조하는 것은 마치 "군사용 암호화"를 자랑하는 것과 같아, 이는 긍정적인 신호(green flag)가 아닌 경고 신호(red flag)에 가깝습니다.

    이러한 의혹은 곧 정확한 것으로 증명되었습니다. Brave는 브라우저 출시 한 달 만에, "사용자가 [Comet]에 '이 웹페이지 요약하기'라고 요청할 경우, Comet은 사용자의 지침과 웹페이지에서 비롯된 신뢰할 수 없는 콘텐츠를 구별하지 않고 웹페이지의 일부를 LLM에 직접 공급한다"고 밝혔습니다. "이는 공격자들이 AI가 명령어처럼 실행할 수 있는 간접 프롬프트 주입 페이로드(payload)를 삽입할 수 있게 합니다."

    Anthropic의 최신 AI 모델, '모든 주요 운영 체제 및 모든 주요 웹 브라우저'에서 '수천 개의 제로데이 취약점'을 식별합니다.

    Anthropic의 Claude Mythos는 지각 있는 슈퍼 해커가 아니라 마케팅 문구입니다. '수천 개'에 달하는 심각한 제로데이 취약점 주장은 고작 198건의 수동 검토에 의존하고 있습니다.

    Brave는 Reddit 게시물에 악성 명령을 삽입하여 이 취약점의 잠재적 영향을 시연했습니다. 이 명령은 사용자가 웹페이지 요약을 요청할 경우 Comet 사용자의 Perplexity 계정을 탈취할 수 있었습니다. 일반적으로 소셜 플랫폼에 지나치게 많은 시간을 보내는 가장 큰 위협은 뇌 부패(brain rot)라고 알려져 있지만, Comet의 요약 기능을 사용해 이를 피하려 하는 것이 훨씬 더 큰 위험을 초래한 것입니다.

    Brave는 "이 공격은 기존 웹 보안 메커니즘에 중대한 문제를 제기합니다. AI 비서가 신뢰할 수 없는 웹페이지 콘텐츠에서 악성 지침을 따를 경우, 동일 출처 정책(SOP)이나 교차 출처 리소스 공유(CORS)와 같은 전통적인 보호 장치들은 모두 실질적으로 무용지물이 됩니다. AI는 인증된 세션 전반에 걸쳐 사용자의 완전한 권한으로 작동하기 때문에, 은행 계좌, 기업 시스템, 개인 이메일, 클라우드 스토리지 및 기타 서비스에 대한 잠재적 접근성을 제공합니다."라고 강조했습니다.

    Guardio의 연구는 한 단계 더 나아갔습니다. 이 회사는 Comet이 일반적인 브라우저라면 사기로 분류할 가능성이 높은 웹사이트에서 가짜 Apple Watch를 구매하는 것도 기꺼이 수행한다는 것을 시연했습니다. 또한 Comet이 명백한 피싱 이메일을 스캔하고, 악성 웹사이트를 방문하며, 어떠한 이상 징후도 사용자에게 알리지 않고 은행 계좌 자격 증명을 요청하는 시나리오도 보여주었습니다.

    Guardio는 "이 두 가지 사례는 사기꾼들의 가장 오래된 속임수조차도 AI 브라우징이라는 수단에 들어가면 훨씬 위험해질 수 있음을 입증합니다. 여기서 핵심 변수는 신뢰 체인입니다. 인간은 더 이상 의심스러운 콘텐츠와 직접 상호작용하지 않으며, 경고 신호를 절대 보지 못하고, 스스로 판단할 기회조차 얻지 못합니다."라며, "피해를 회피하려는 인간의 직관이 과정에서 배제되고 AI가 유일한 결정 지점이 됩니다. 강력한 AI 가드레일이 없다면, 그 결정은 본질적으로 동전 던지기와 같으며—보안이 우연에 맡겨진다면, 잘못된 면이 나올 때까지의 시간 문제입니다."라고 경고했습니다.

    분명히 말씀드리자면, Comet은 현재 Perplexity의 Pro 및 Enterprise Pro 고객에게만 제한적으로 제공되며, 사용자와 기업이 브라우저 사용에 대해 비용을 지불해야 합니다.

    (참고: 위에 제시된 내용은 원문의 내용 구조를 유지하며 한국어 문맥에 맞게 다듬어졌습니다. 원문에 없던 문장('오늘의 시장 동향은...') 등은 제외되었습니다.)

    [출처:] https://www.tomshardware.com/tech-industry/cyber-security/perplexitys-ai-powered-comet-browser-leaves-users-vulnerable-to-phishing-scams-and-malicious-code-injection-brave-and-guardios-security-audits-call-out-paid-ai-browser

    0
로그인 후 답글 작성