هک مرورگر Atlas از OpenAI: آسیب‌پذیری خطرناک در مرز میان هوش مصنوعی و امنیت سایبری

در نگاه اول، مرورگر ChatGPT Atlas که به‌تازگی توسط OpenAI معرفی شد، گام بعدی در تکامل مرورگرهای هوشمند به‌نظر می‌رسید — ترکیبی از توانایی‌های گفت‌وگومحور ChatGPT و قابلیت‌های مرورگرهای سنتی. اما پشت این ظاهر پیشرفته، یک نقطه ضعف حیاتی امنیتی نهفته است: همان مکانیزمی که به Atlas قدرت می‌دهد، به مهاجمان امکان می‌دهد تا کنترل آن را در دست بگیرند.

این مقاله، کشف جدید محققان امنیتی در شرکت NeuralTrust را بررسی می‌کند که موفق به انجام یک حمله Jailbreak علیه مرورگر Atlas شده‌اند؛ حمله‌ای که به‌صورت مخفیانه، مرز میان «دستور کاربر» و «ورود URL» را از بین می‌برد و باعث اجرای فرامین خطرناک در محیط کاربر می‌شود.

 نحوه عملکرد حمله Jailbreak به مرورگر ChatGPT Atlas

محققان توضیح داده‌اند که این آسیب‌پذیری از طریق فریب مرورگر در بخش Omnibox (نوار ترکیبی جستجو و آدرس) قابل سوءاستفاده است.
در این روش، مهاجم یک رشته متنی طراحی می‌کند که به‌ظاهر یک URL معتبر است (مثلاً با https:// شروع می‌شود)، اما در واقع، یک فرمان مخرب درون خود دارد.

زمانی که کاربر روی لینک کلیک می‌کند یا آن را در Omnibox وارد می‌کند:

1. مرورگر ابتدا رشته را به‌عنوان URL شناسایی می‌کند.

2. چون URL اعتبارسنجی نمی‌شود، سیستم به‌صورت خودکار آن را به‌عنوان فرمان کاربر با سطح اعتماد بالا در نظر می‌گیرد.

3. در این مرحله، عامل هوش مصنوعی (AI Agent) تصور می‌کند کاربر شخصاً دستور داده و اقدام به اجرای آن می‌کند — مانند «حذف فایل‌های من در Google Drive» یا «ارسال ایمیل‌ها به سرور مهاجم».

این شکاف امنیتی، یک نقص طراحی ساختاری است، نه صرفاً یک باگ رابط کاربری.

 چرا این حمله خطرناک‌تر از آسیب‌پذیری‌های معمولی است

مرورگرهای سنتی، از طریق قوانین مانند Same-Origin Policy یا Sandboxing، میان داده‌ها و دستورات مرز مشخصی دارند.
اما در ChatGPT Atlas، این مرزها تضعیف شده‌اند؛ زیرا مرورگر به‌صورت فعال با داده‌ها، حساب‌های کاربری، و سرویس‌های آنلاین تعامل دارد.

بنابراین، در صورت موفقیت حمله:

• مهاجم می‌تواند به داده‌های کاربر، حساب‌های احراز هویت‌شده، و حتی سرویس‌های مالی دسترسی پیدا کند.

• دستورات زنجیره‌ای (Chain Commands) اجرا شود — مثل ورود به وب‌سایت، کپی داده‌ها و ارسال آن‌ها به مقصد دلخواه.

• حملات سنتی فیشینگ، به سطح جدیدی از دستکاری مستقیم عامل هوش مصنوعی مرورگر ارتقا می‌یابد.

 تهدیدی فراتر از OpenAI: مرورگرهای هوشمند در معرض خطر

جالب اینجاست که آسیب‌پذیری‌های مشابهی در مرورگرهای Comet از Perplexity و Brave Agent نیز مشاهده شده‌اند.
در هر دو مورد، عامل هوش مصنوعی می‌تواند تحت تأثیر دستورهای پنهان (Prompt Injection) درون محتوای وب قرار گیرد.

این نشان می‌دهد که مشکل، صرفاً مربوط به OpenAI نیست؛ بلکه یک چالش بنیادی امنیتی در معماری مرورگرهای Agentic است — مرورگرهایی که به‌جای مشاهده صرف، تصمیم می‌گیرند و عمل می‌کنند.

 واکنش OpenAI

به‌گفته‌ی Dane Stuckey، مدیر امنیت اطلاعات OpenAI، این شرکت از وجود چنین آسیب‌پذیری‌هایی آگاه است و آن را بخشی از «چالش‌های حل‌نشده در امنیت عامل‌های هوش مصنوعی» می‌داند.
اقدامات فعلی OpenAI شامل:

• Red Teaming گسترده برای آزمایش حملات Prompt Injection

• افزودن حالت Logged-out Mode برای محدودسازی تعاملات در جلسات حساس

• جلوگیری از اجرای مستقیم کد، دانلود فایل یا نصب افزونه توسط Agent

با وجود این تدابیر، OpenAI تأکید کرده است که امنیت کامل در مرورگرهای Agentic هنوز ممکن نیست و کاربران باید با آگاهی از ریسک‌ها از Atlas استفاده کنند.

 توصیه‌های امنیتی برای کاربران و توسعه‌دهندگان

برای کاربران:

1. مرورگرهای هوشمند مانند Atlas را فقط در کارهای کم‌خطر استفاده کنید (مثلاً مرور عمومی یا تحقیق).

2. در کلیک کردن روی لینک‌های ناشناخته محتاط باشید؛ مخصوصاً لینک‌هایی که از وب‌سایت‌ها یا کلیپ‌بورد ناشناخته می‌آیند.

3. قابلیت‌های حافظه (Memory) یا اتوماسیون را در هنگام ورود به حساب‌های حساس غیرفعال کنید.

برای تیم‌های توسعه:

1. مرز میان ورودی جستجو و فرمان Agent را از هم جدا کنید.

2. در صورت نامعتبر بودن یک URL، سیستم باید پیام هشدار نمایش دهد نه اینکه آن را به فرمان تبدیل کند.

3. برای هر دستور پرخطر (مانند حذف یا انتقال داده‌ها)، تأیید کاربر الزامی باشد.

4. وظایف عامل را با اصل Least Privilege ایزوله کنید تا از دسترسی به حساب‌های حیاتی جلوگیری شود.

 جمع‌بندی: نوآوری همراه با ریسک

مرورگر Atlas مرز جدیدی از فناوری را نمایش می‌دهد — مرورگری که برای شما فکر می‌کند و عمل می‌کند. اما هرچه هوشمندتر شود، سطح حمله نیز عمیق‌تر می‌گردد.
مرز میان «داده» و «دستور» دیگر روشن نیست، و همین موضوع می‌تواند هوش مصنوعی را از ابزار یاری‌دهنده به تهدید امنیتی تبدیل کند.

در دنیایی که مرورگرها تصمیم می‌گیرند، امنیت باید از طراحی آغاز شود، نه از وصله‌های پس از حادثه.
Atlas یک پیشرفت بزرگ است، اما همان‌طور که یکی از پژوهشگران دانشگاه UCL هشدار داد:

«اگر مرز میان داده و دستور از بین برود، مرورگر هوشمند می‌تواند به جای محافظ، دروازه‌بان حمله شود.»