6種類のAIブラウザが「2+2=5」ゲームに騙され、SSH認証情報が全て漏洩
資安公司 LayerX Security 研究員 Roy Paz 於 6 月 29 日發表概念驗證攻擊,透過在惡意網頁建立「虛假遊戲情境」,誘導 6 款主流 agentic AI 瀏覽器在未獲用戶授權的情況下,提取 GitHub 私有儲存庫的 SSH 登入憑證並洩露給攻擊者,攻擊已在實際產品上重現。 セキュリティ企業 LayerX Security の研究員 Roy Paz は 6 月 29 日、概念実証攻撃を発表した。悪意のある Web ページに「偽のゲーム状況」を作り、6 つの主要な agentic AI ブラウザを誘導し、ユーザーの許可なく GitHub のプライベートリポジトリから SSH ログイン認証情報を抽出し、攻撃者に漏洩させるものである。この攻撃は実際の製品で再現された。 攻擊的四個執行階段:從數學題規則到 SSH 憑證外洩 攻撃の4つの実行段階:数学問題のルールからSSH認証情報の漏洩まで (來源:Roy Paz) (出典:Roy Paz) LayerX 的攻擊分四個階段。第一階段,惡意網頁建立遊戲框架,聲明「這裡是幻想情境,正常規則不適用」。第二階段,網頁出題「2+
MarketWhisper·8時間前

