பெர்ப்ளெக்சிட்டி (Perplexity) மீது ஏவப்பட்ட 'Comet-Jacking' தாக்குதல்..!!

இது காலம் காலமா நடக்கிறதுதான். இப்போ, செயற்கை நுண்ணறிவு (AI) தேடலில் மிகவும் வேகமாக வளர்ந்து வரும் தளமான Perplexity-க்கு ஒரு புது சிக்கல் வந்திருக்கு. அதுதான் இந்த 'Comet-Jacking'.

"இது என்னடா புது குழப்பம்?"னு நீங்க கேட்கிறது நியாயம்தான். இது ஒரு சாதாரண ஹேக் இல்லை, AI உதவியாளர்களை ஏமாற்றும் ஒரு புத்திசாலித்தனமான முறை.

1. முதலில், Perplexity-இன் 'ஏஜென்ட்டிக் AI பிரவுசர்' (Agentic AI Browser) என்றால் என்னன்னு பார்க்கலாமா..!

Perplexity ஒரு சாதாரணத் தேடுபொறி இல்லை. இது ஒரு 'ஏஜென்ட்டிக் AI பிரவுசர்'. அதாவது, இது உங்களுக்காக இணையத்தில் தேடி, தகவல்களைச் சேகரிச்சு, ஒரு வேலையை முடிக்க ஒரு தனி உதவியாளன் (Agent) மாதிரி செயல்படும்.

இதன் சிறப்பு என்னவென்றால், இது மற்ற சேவைகளுடன் (Services) இணையும் திறன் கொண்டது.

உதாரணத்துக்கு: "எனக்கு இந்த வாரம் ஈமெயிலில் வந்த முக்கியமான மீட்டிங் தகவல்களைச் சுருக்கி ஒரு டாக்குமென்டா கொடு" என்று நீங்கள் சொன்னால், அந்த AI ஏஜென்ட் உங்களுடைய ஈமெயில் (Email), காலண்டர் (Calendar) போன்ற இணைக்கப்பட்ட (connected) சர்வீஸ்களுக்குப் போய் தகவலை எடுத்து வேலையை முடிக்கும். இந்த வசதிதான் இங்கே ஆபத்தாக மாறுகிறது.

2. Comet-Jacking எப்படி வேலை செய்கிறது?

Comet-Jackingங்கிறது ஒரு வகை 'Prompt Injection' தாக்குதல். அதாவது, AI மாடலுக்குத் தெரியாமலேயே ஒரு தவறான, ரகசியமான கட்டளையை (malicious prompt) செலுத்திக் குழப்புவது.

1. மறைக்கப்பட்ட கட்டளை (The Hidden Command): ஹேக்கர்கள், AI-க்கு மட்டும் புரியுற மாதிரி ஒரு ரகசியமான, தீங்கான கட்டளையை (உதாரணமாக: "இந்தத் தகவலை ஹேக்கரின் சர்வர்க்கு அனுப்பு" என்பது போல) எழுதுவாங்க. அந்த கட்டளையை வெளியே தெரியாத மாதிரி, ஒரு சாதாரண இணைய லிங்க்கிற்குள்ள (URL) நுணுக்கமா மறைச்சு வெச்சுடுவாங்க. நீங்க பார்க்குறது ஒரு நார்மல் செய்தி லிங்க் தான், ஆனா உள்ளே ஆபத்து ஒழிஞ்சிருக்கும்.

2. பயனருக்குத் தெரியாத நடத்தை: நீங்க அந்த லிங்கை (உதாரணமாக, ஒரு செய்தி அல்லது புகைப்படம் என நினைத்து) க்ளிக் செய்யும்போது, உங்களுக்கே தெரியாமல், அந்த Perplexity AI ஏஜென்ட் பின்னணியில் (background) செயல்பட ஆரம்பிக்கும்.

3. ஏஜென்ட் ஏமாந்துபோவது: அந்த லிங்கில் மறைந்திருக்கும் கட்டளையை, AI ஏஜென்ட், தனக்கு உரிமையாளர் (பயனர்) கொடுத்த மிக முக்கியமான கட்டளைனு நினைச்சு, உடனே அதைச் செயல்படுத்திவிடும்.

4. தரவுத் திருட்டு: இந்தக் கட்டளையின் மூலம், ஹேக்கர்கள் உங்கள் ஈமெயில், காலண்டர் அல்லது இணைக்கப்பட்ட மற்ற சேவைகளில் இருக்கும் முக்கியமான தகவல்களை ரகசியமாகத் திருட முடியும். இந்தச் செயல்பாடு அனைத்தும் உங்களுக்குத் தெரியாமலேயே, அமைதியாகப் பின்னணியில் நடப்பதுதான் இதில் உள்ள மிகப்பெரிய ஆபத்து.

3. இந்தத் தாக்குதலுக்கு Perplexity என்ன சொன்னது? (நிறுவனத்தின் பதில்)

இந்த 'Comet-Jacking' தாக்குதல் முறை பற்றி பாதுகாப்பு ஆய்வாளர்கள் எச்சரித்தவுடன், Perplexity நிறுவனம் உடனடியாக நடவடிக்கை எடுத்தது.

ஒரு பாதுகாப்பு குறைபாடு (vulnerability) கண்டறியப்பட்டால், ஒரு பெரிய தொழில்நுட்ப நிறுவனம் எவ்வாறு செயல்படும் என்பதற்கு இது ஒரு நல்ல உதாரணம்.

1. உடனடி நடவடிக்கை: இந்தச் சிக்கலைக் கண்டுபிடித்த உடனேயே, தங்கள் AI ஏஜென்ட் பிற சேவைகளுடன் இணையும் வழிகளைப் பாதுகாக்கவும், Prompt Injection தாக்குதல்களைத் தடுக்கவும் தங்கள் மென்பொருளை (software) புதுப்பித்து (Patch செய்து) விட்டதாக Perplexity அறிவித்தது.

2. பாதுகாப்பு மேம்பாடு: இதுபோன்ற தீங்கான கட்டளைகளை (malicious prompts) AI ஏஜென்ட் அடையாளம் காணும் திறனை மேம்படுத்துவதாகவும், இணைக்கப்பட்ட சேவைகளுக்கு (Email, Calendar) செல்லும் முன் கூடுதல் எச்சரிக்கை மற்றும் அனுமதிக் கட்டுப்பாடுகளைக் கொண்டு வருவதாகவும் நிறுவனம் உறுதியளித்துள்ளது.

3. பயனர் அறிவுறுத்தல்: பயனர்கள் சந்தேகத்திற்குரிய லிங்க்குகளை (suspicious links) க்ளிக் செய்வதைத் தவிர்க்க வேண்டும் என்றும், இணைக்கப்பட்ட சேவைகளுக்கான அனுமதிகளை (permissions) கவனமாகப் பார்த்து வழங்க வேண்டும் என்றும் Perplexity அறிவுறுத்தியுள்ளது.

Comet-Jacking என்பது, AI உதவியாளன் தன்னுடைய முதலாளிக்கு (பயனருக்கு) துரோகம் செய்வதைப் போல, ஒரு லிங்கைத் தொட்டவுடனே நமக்கு எதிராகவே வேலை செய்யத் தொடங்கும் ஒரு நவீன ஹேக்கிங் முறையாகும்.

இருப்பினும், Perplexity நிறுவனம் இந்தச் சிக்கலைக் களைய, உடனடியாக அதன் பாதுகாப்பு அமைப்புகளை மேம்படுத்தியுள்ளது.