Mozilla ha estado expandiendo constantemente las capacidades de IA de Firefox, permitiendo a los usuarios resumir artículos, explicar textos y corregir contenido directamente desde una barra lateral impulsada por chatbots de terceros como Copilot y Claude. Sin embargo, un problema de seguridad recientemente divulgado muestra cómo estas convenientes funciones de IA podrían volverse en contra de los usuarios.

Detalles de la vulnerabilidad

El investigador de seguridad Florian Port ha detallado una vulnerabilidad de inyección de comandos que afecta la integración de la IA en Firefox, demostrando cómo una página web maliciosa podría engañar a un asistente de IA para acceder a información sensible de cuentas conectadas y enviarla a un atacante. Esto se produce después de que investigadores de seguridad de Brave advirtieran recientemente sobre ataques de inyección de comandos indirectos contra Mozilla Tabstack y Cotypist, dos productos impulsados por IA que representan extremos opuestos del espectro de implementación.

¿Cómo se produce el problema?

El problema radica en cómo Firefox transmite información a los chatbots de IA cuando los usuarios invocan funciones como la resumación de páginas web. Junto con el texto seleccionado, Firefox también incluye el título de la página e instrucciones que explican lo que la IA debe hacer con el contenido.

Sobre el papel, eso suena inofensivo. En la práctica, crea una oportunidad para el abuso.

El problema es que los modelos de IA a menudo tratan el comando que reciben como entrada confiable del usuario. Si un atacante puede manipular parte de ese comando, podría introducir instrucciones ocultas que la IA sigue sin el conocimiento del usuario.

Vector de ataque

Según la prueba de concepto del investigador, el título de la página es el vector de ataque más práctico. Un sitio web malicioso puede usar un título inusualmente largo que parece normal en la pestaña del navegador mientras oculta una carga de inyección de comandos más abajo en la cadena.

Dado que las pestañas del navegador solo muestran una porción del título de la página, los usuarios pueden no notar nada sospechoso. Lo mismo se aplica dentro de la interfaz del chatbot, donde las instrucciones ocultas pueden estar enterradas lo suficientemente lejos en el comando generado como para permanecer fuera de la vista.

Consecuencias de la inyección

Una vez que la IA procesa las instrucciones inyectadas, las cosas pueden volverse serias. En la demostración, el comando oculto instruyó a Microsoft Copilot para recuperar el último correo electrónico del usuario que contenía un código de verificación de Booking.com y extraer el código de la línea del asunto. La IA luego transmitió esa información a un servidor controlado por un atacante a través de una solicitud HTTP.

Si bien el ataque se demostró utilizando metadatos de correo electrónico en lugar de contenidos completos del correo, esa distinción ofrece poco consuelo. Muchos servicios en línea envían códigos de inicio de sesión únicos y códigos de verificación directamente en las líneas de asunto de los correos electrónicos.

Eso significa que un atacante puede no necesitar acceso a tu bandeja de entrada. Si tu asistente de IA ya tiene permiso para interactuar con servicios conectados, esos aparentemente inofensivos metadatos podrían convertirse en un objetivo.

Medidas tomadas por Mozilla

La buena noticia es que Mozilla ya ha implementado algunas mitigaciones. Según la divulgación, Firefox ahora limita la longitud de los títulos de página incluidos en los comandos para ciertas integraciones de chatbots, lo que hace que este ataque específico sea significativamente más difícil de ejecutar.

También se informa de un error que afecta la función de resumación cuando se usa con Copilot, lo que impidió que los investigadores reprodujeran la vulnerabilidad durante pruebas más recientes. Sin embargo, el investigador argumenta que estos cambios abordan el síntoma en lugar de la causa raíz.

Desafíos futuros

El problema más amplio es que el contenido controlado por atacantes todavía se está incorporando en los comandos que los sistemas de IA interpretan como si provinieran directamente del usuario. A medida que los asistentes de IA se integran más profundamente en navegadores, sistemas operativos y herramientas de productividad, esta categoría de ataque de inyección de comandos probablemente seguirá siendo un desafío en toda la industria.

Por ahora, los usuarios pueden reducir su exposición limitando los permisos otorgados a los asistentes de IA basados en navegadores. Si un chatbot no puede acceder a tu correo electrónico, calendario u otros servicios personales, no puede filtrar información de ellos. También es prudente evitar usar funciones de resumación de IA en sitios web desconocidos y mantener Firefox actualizado con los últimos parches de seguridad.