L'extension de navigateur que vous venez d'installer dans Chrome peut sembler inoffensive. Cependant, créée par un cybercriminel avisé, elle pourrait exploiter l'IA pour voler des données personnelles ou professionnelles à votre insu.
Un nouveau rapport du fournisseur de sécurité pour navigateurs LayerX décrit comment n'importe quelle extension de navigateur peut accéder aux requêtes de LLM (grands modèles de langage) alimentés par l'IA pour y injecter les instructions nécessaires au vol de données. Sans même nécessiter d'autorisations spéciales, une telle extension pourrait s'avérer particulièrement dangereuse dans un environnement professionnel où elle est capable de capturer des informations internes ou propriétaires.
L'exploit lui-même s'inspire du fonctionnement de la plupart des outils d'IA générative dans le navigateur. Lorsque vous utilisez un assistant IA basé sur LLM, la requête est intégrée au modèle d'objet de document (DOM) de la page web, une API qui permet d'accéder à tous les objets de la page. Selon LayerX, toute extension disposant d'un accès script au DOM peut directement lire et écrire dans l'invite.
Avec ce niveau d'accès, une extension malveillante pourrait lancer des attaques par injection de requêtes pour modifier la saisie de l'utilisateur ou ajouter des instructions cachées. De là, elle pourrait extraire des données de la requête d'origine, de la réponse de l'IA ou de la conversation e...
[Courte citation de 8% de l'article original]