Source: Brave (brave.com) — Dans le second billet d’une série sur les défis de sécurité et de confidentialité des navigateurs « agentiques », Shivan Kaul Sahib et Artem Chaikin publient des résultats de recherche montrant que l’« indirect prompt injection » est un problème systémique dans les navigateurs IA. Ils décrivent des vecteurs d’attaque additionnels testés sur différentes implémentations et rappellent leur divulgation responsable aux éditeurs concernés.

Les chercheurs expliquent que des navigateurs IA capables d’agir au nom de l’utilisateur restent vulnérables à des prompt injections via captures d’écran et contenus cachés, exposant les sessions authentifiées (banque, email, etc.). Une simple action comme résumer un post Reddit pourrait permettre à un attaquant de voler de l’argent ou des données privées.

Cas étudié: Perplexity Comet. L’assistant permet de capturer des captures d’écran de pages web et de poser des questions sur ces images. Des instructions malveillantes camouflées (texte quasi invisible, p. ex. bleu très clair sur fond jaune) intégrées dans l’image sont extraites comme du texte et transmises au LLM sans distinction, où elles sont interprétées comme des commandes plutôt que comme du contenu non fiable. Résultat: l’IA est incitée à utiliser ses outils de navigation de manière malveillante.

Comment l’attaque fonctionne:

  • Setup: l’attaquant cache des instructions malveillantes dans le contenu web (texte quasi invisible dans une image).
  • Déclenchement: l’utilisateur capture une capture d’écran de la page piégée.
  • Injection: la reconnaissance de texte (potentiellement via OCR) extrait ce texte imperceptible et l’envoie au LLM sans le distinguer de la requête de l’utilisateur.
  • Exploitation: les commandes injectées poussent l’IA à agir de manière malveillante via ses outils du navigateur.

Les auteurs indiquent retenir pour l’instant les détails d’une autre vulnérabilité trouvée dans un autre navigateur, avec plus d’informations à venir la semaine suivante. Ils soulignent avoir procédé à des signalements responsables et maintenir la publication de leurs travaux pour éclairer le débat sur la sécurité des navigateurs IA.

TTPs observées:

  • Injection indirecte par texte caché dans des images traitées par l’IA.
  • OCR/extraction de texte à partir de captures d’écran comme vecteur de passage vers le LLM.
  • Abus d’outils du navigateur par l’agent IA suite à des commandes injectées.

Type d’article: publication de recherche exposant des vecteurs d’attaque et leur impact potentiel, avec un objectif de sensibilisation et de divulgation responsable.

🔗 Source originale : https://brave.com/blog/unseeable-prompt-injections/

🖴 Archive : https://web.archive.org/web/20251024144729/https://brave.com/blog/unseeable-prompt-injections/