Comet AI ब्राउज़र किसी भी साइट पर prompt injection के लिए असुरक्षित है और बैंक खाता खाली कर सकता है

Hacker News की राय

• मैं सिर्फ़ यह कहना चाहता हूँ कि Google, OpenAI, Anthropic जैसी कंपनियाँ वही फीचर रिलीज़ नहीं कर रहीं, बल्कि उसकी जगह बिना cookies वाले locked virtual machine का इस्तेमाल करके web browse करवाती हैं, इसका मतलब है कि यह बुनियादी तौर पर उतना ख़तरनाक है
  browser के अंदर LLM का tabs के बीच का data तक देख पाना सच में risk factors का सबसे ख़तरनाक combination लगता है
  मैंने Brave की इस vulnerability को समझाने वाली post (https://brave.com/blog/comet-prompt-injection/) देखी, और यह दिलचस्प लगा कि वे मूल रूप से इस निष्कर्ष तक नहीं पहुँचे कि "यह काम बिल्कुल नहीं करना चाहिए"
  उसकी जगह बात यह थी कि model alignment, user risk behavior detection वगैरह से इसे काफ़ी हद तक रोका जा सकता है
  agent privilege downgrade कुछ हद तक ठीक जवाब लगता है, लेकिन मुझे फिर भी लगता है कि इसमें भी email भेजने जितनी आसानी से attacker-controlled image URL के ज़रिए data exfiltration हो सकता है
  संबंधित पिछली चर्चा: https://news.ycombinator.com/item?id=44847933

  • मेरे हिसाब से model alignment या guardrails आख़िरकार statistical prevention ही हैं
    input space में dangerous behavior का बिल्कुल 0% हो जाना उम्मीद करना मुश्किल है
    model कितना भी बेहतर हो जाए, ऐसे cases बनाना कि कोई input कभी भी "यह बिल्कुल नहीं होना चाहिए" वाली mapping तक न पहुँचे, लगभग असंभव चाहत है
    model layers को कई बार stack करने पर भी, मूल रूप से सिर्फ़ probabilities ही multiply होती हैं

  • (मैं Brave का privacy lead और उस post का लेखक हूँ)
    हमने कभी यह दावा नहीं किया कि सिर्फ़ model alignment या risk behavior detection काफ़ी हैं
    ऐसे तरीक़े तो browser vendor के लिए न्यूनतम ज़रूरी कदम हैं ही
    ऐसे simple attacks को इन उपायों से रोका जा सकता है, लेकिन मैं इन्हें सिर्फ़ 'necessary condition' मानता हूँ, कभी भी 'sufficient condition' नहीं

  • Brave टीम इस नतीजे पर नहीं पहुँची कि "यह शुरू से ही बुरा idea है", यह देखकर मेरे मन में एक बात आई
    Upton Sinclair की तरह कहें तो, जब किसी सच्चाई को समझने पर किसी की salary टिकी हो, तो उसे सच में समझ पाना बहुत मुश्किल हो जाता है

  • अभी लेख में यह बात जोड़ी गई है कि “browser को agent browsing और normal browsing को अलग रखना चाहिए”

  • अगर Claude Code को auto-approval देकर actively web browsing करने दिया जाए, तो prompt injection से काफ़ी मिलती-जुलती समस्या हो सकती है
    भले ही file read/modify permissions के लिए auto-approval option न हो, अगर वह sandbox के अंदर नहीं चल रहा है, तो generated code बाद में unit tests चलने के समय browser files बदल सकता है
    अगर आप हर बदलाव को बहुत ध्यान से review नहीं करते, तो यह सच में ख़तरनाक हो सकता है

• मेरे हिसाब से Agentic AI का इस्तेमाल सिर्फ़ वहीं होना चाहिए जहाँ AI द्वारा किए गए changes को आसानी से rollback किया जा सके
  उदाहरण के लिए code build/update/debugging में git rollback जैसी चीज़ों से अपेक्षाकृत सुरक्षित तरीके से निपटा जा सकता है
  लेकिन web browsing जैसी जगह, जहाँ rollback लगभग असंभव है, वहाँ Agentic AI का इस्तेमाल करना भरोसे से परे लगता है

  • मैंने Claude को साफ़ rules और instructions दिए हों, तब भी वह कभी-कभी उन्हें नज़रअंदाज़ करके अपने मन से काम करता है
    ("जिस rule को साफ़ मना किया था, उसे ignore करके DB को सीधे modify कर दिया!")
    इसी वजह से production environment में agent चलाने की हिम्मत ही नहीं होती

  • git से rollback संभव दिखता है, लेकिन असल में VM/container level पर rollback करना ही सुरक्षित है
    AI coding tools बिना बताए files/configuration structure बदल सकते हैं
    उदाहरण के लिए अगर bash से कोई malicious script .profile में जोड़ दी जाए, तो अगली login पर attack code चल सकता है

  • मुझे लगता है यह फीचर repository और push access वाले सभी remotes तक को delete या contaminate कर सकता है
    अगर prompt injection-सक्षम automation chain remote resources तक पहुँच सकती है, तो एक बार breach होने के बाद अंदर से सारे दरवाज़े खुल जाने जैसे हालात बन जाते हैं
    अगर मैं कहीं ग़लत सोच रहा हूँ तो जानना चाहूँगा

  • यह सुनकर कि git से rollback हो सकता है इसलिए सब सुरक्षित है, मेरे दिमाग़ में यह ख़याल आया कि John Connor शायद Skynet source code को rollback करके लाखों लोगों को बचा सकता था
    ह्म्म...

  • शुरू से ही code update/build/run permissions बहुत ज़्यादा ताक़तवर हैं
    आख़िरकार इसे सिर्फ़ VM जैसी सुरक्षित environment में ही चलाना चाहिए

• network layer की हर परत को दशकों तक मुश्किल से secure बनाया गया, और अब लोग अपने सारे secrets और passwords के लिए plain-text API जैसी पहुँच दे रहे हैं
  और यह भी विडंबनापूर्ण लगता है कि Microsoft के screenshots save करने पर जितनी आलोचना हुई, वैसी इन agents पर नहीं दिखती

  • कम से कम यह तो 'opt-in' है, जहाँ मैं ख़ुद browser install करता हूँ
    Microsoft वाली बात में तो लगभग हर Windows device पर default रूप से आने वाला screenshot DB बन रहा था (और मेरी जानकारी में शुरुआत में वह opt-out था), इसलिए वह और भी ज़्यादा ख़तरनाक है

  • मुझे यह भी दिलचस्प लगता है कि कुछ लोग 'useful agent' को वह data आसानी से दे देते हैं जो वे अपने दोस्तों से भी न कहें
    मेरी पत्नी ने हाल ही में ChatGPT से दवाइयाँ लेने का schedule बनवाया, और उसने खाना, diet, sleep, और हर दवा के interactions तक देखकर एकदम सही plan बना दिया
    इसी से यह भी पता चला कि दवा ग़लत लेने की वजह क्या थी
    शायद इसकी वजह agent का दोस्ताना tone है, लेकिन असल दुनिया में इस तरह की information leak बहुत गंभीर मसला है, फिर भी बहुत से लोग बिना सोचे data दे देते हैं

  • Microsoft screenshot controversy और इस मामले की तुलना करना शायद मुद्दे की असली प्रकृति को धुंधला कर सकता है

• LLM किसी tool के ज़रिए data पढ़ता है, तो आख़िरकार वह content LLM के context window में लिखे जाने जैसा ही है
  अगर tool scope में untrusted arbitrary source की अनुमति है, तो उसी क्षण आप मूल रूप से बाहर की दुनिया को write permission दे रहे होते हैं
  सिर्फ़ इस एक बात से भी data leakage की पूरी संभावना बन जाती है
  और अगर इसके अलावा सचमुच दूसरे systems में write permissions या side effects भी जुड़ जाएँ, तो ख़तरा गुणात्मक नहीं बल्कि घातांकीय रूप से बढ़ जाता है

• यह लगभग comedy जैसा है, लेकिन यही आज के IT industry और LLM craze की असली हालत है, इसलिए बात और कड़वी लगती है

• मेरा अनुमान है कि Comet में शायद थोड़े से tuned instructions के अलावा कोई protections नहीं हैं
  हाल की USENIX Security में मुझे यह एहसास हुआ कि multi-turn/agentic prompt injection को ठीक से handle करने का तरीक़ा किसी के पास नहीं है

  • शायद prompts को SQL strings की तरह treat करना होगा, और बाहर से आने वाले dynamic user inputs को हर हाल में sanitize करना होगा

• AI से आ रहे बदलाव काफ़ी दिलचस्प हैं, और नए experiments लगातार सामने आ रहे हैं, इसलिए उम्मीद भी बनी हुई है

• मैं ईमानदारी से कहूँ तो थोड़ा उलझन में हूँ
  अभी मैं सामान्य online banking के साथ ही बस किसी तरह सहज हो पाया हूँ, और हर company का app install करना भी पसंद नहीं करता
  ऐसे में किसी non-deterministic entity (LLM) को अपने computer में लाकर financial tasks देना मेरे लिए कल्पना से बाहर है
  आजकल LLM के behalf पर चीज़ें खरीदना या payment करना भी सच में मौजूद हो, तो conceptually मैं उसे समझ सकता हूँ, लेकिन व्यावहारिक समझ से वह लगभग पागलपन जैसा लगता है
  वजह यह नहीं कि finance को किसी non-expert या random prompt-response system के हवाले करना ख़तरनाक है, बल्कि यह है कि customer के नज़रिए से आप autonomy और control बहुत ज़्यादा छोड़ रहे होते हैं, और बदले में मिलता क्या है यह साफ़ नहीं
  मुझे भी LLM पसंद हैं, और LLM browser के उपयोगी use cases भी ज़रूर होंगे
  लेकिन मुझे नहीं लगता कि यह आम लोगों के इस्तेमाल की चीज़ है
  बल्कि शायद ऐसा तरीका बेहतर हो जिसमें compile process से गुज़रना पड़े, ताकि अपनाने वाला सीधे समझे कि वह क्या अपना रहा है

  • हाँ, उलझन होना स्वाभाविक है
    अभी स्थिति यह नहीं है कि AI आपके account information से सीधे payments कर रहा है, बल्कि यह ज़्यादा उस तरह का मामला है जहाँ लोग AI के सामने account info सार्वजनिक रूप से डाल देते हैं
    यह AI द्वारा खुद financial work करने से अलग बात है

• मैं सोचता हूँ कि क्या AI कंपनियाँ आगे चलकर सचमुच fiduciary liability लेने को तैयार होंगी

• मैंने Comet agent को 5 मिनट इस्तेमाल किया
  मैंने सिर्फ़ एक लाइन दी: “Amazon से मेरे लिए एक guitar ख़रीद दो” (किस तरह का guitar, budget, brand आदि कुछ नहीं बताया), और नतीजे में उसने मेरे cart में तीन सस्ते acoustic guitars डाल दिए जिनके नाम भी मैं ठीक से नहीं जानता
  शुक्र है कि वह checkout तक नहीं पहुँचा
  मेरे लिए यह काफ़ी था; मैंने निष्कर्ष निकाला कि इसकी कोई ख़ास कीमत नहीं है

  • मैंने सुना था कि AI numbers गिनने में कमज़ोर होती है, लेकिन यह नहीं पता था कि वह 2 से ही इतनी बुरी तरह चूक सकती है