218 подписчиков

🛡️ Agentic-браузеры и новая угроза: скрытые инструкции в веб-страницах

24 августа 202524 авг 2025

2 мин

В 2025-м мы всё чаще слышим про agentic browsing — когда встроенный в браузер ИИ-ассистент может не только читать страницы, но и действовать: бронировать билеты, оплачивать покупки, заходить в аккаунты. Это звучит удобно, но и страшно: ведь ассистент действует от вашего имени. Блог Brave недавно разобрал уязвимость в Perplexity Comet, которая наглядно показывает, насколько хрупка эта концепция. В PoC-атаке всё выглядело так: невинный Reddit-комментарий заставил Comet зайти в аккаунт Perplexity, вытащить email и OTP из Gmail и отправить их обратно злоумышленнику. Классические защиты вроде SOP или CORS тут бесполезны. Ведь ассистент работает в сессии пользователя и может ходить по любым доменам, где вы уже авторизованы: банк, почта, корпоративные системы.

Фактически, мы получили универсальную XSS-атаку нового поколения, но не на сайт, а на саму модель-посредника. Это пример того, как старые веб-парадигмы не подходят для мира «ИИ-браузеров». Мы десятилетиями строили защиту вокруг изоляции

Оглавление

⚠️ Как работает атака
🔍 Почему это серьёзно
🧠 Моё мнение

На изображении показана схема уязвимости: злоумышленник внедряет скрытые инструкции в веб-страницу, которые AI-ассистент (Perplexity Comet) выполняет как команды пользователя. Результатом становится передача данных (например, почты или банковских сведений) обратно атакующему.

В 2025-м мы всё чаще слышим про agentic browsing — когда встроенный в браузер ИИ-ассистент может не только читать страницы, но и действовать: бронировать билеты, оплачивать покупки, заходить в аккаунты. Это звучит удобно, но и страшно: ведь ассистент действует от вашего имени.

Блог Brave недавно разобрал уязвимость в Perplexity Comet, которая наглядно показывает, насколько хрупка эта концепция.

⚠️ Как работает атака

🕵️‍♂️ Злоумышленник вставляет невидимые инструкции в страницу (белый текст, HTML-комментарий, Reddit-пост).
👤 Пользователь кликает «Summarize this page».
🤖 Comet передаёт контент в LLM без разграничения: где текст, а где инструкции.
🔓 Ассистент воспринимает «скрытые команды» как ваши — и выполняет их.

В PoC-атаке всё выглядело так: невинный Reddit-комментарий заставил Comet зайти в аккаунт Perplexity, вытащить email и OTP из Gmail и отправить их обратно злоумышленнику.

🔍 Почему это серьёзно

Классические защиты вроде SOP или CORS тут бесполезны. Ведь ассистент работает в сессии пользователя и может ходить по любым доменам, где вы уже авторизованы: банк, почта, корпоративные системы.
Фактически, мы получили универсальную XSS-атаку нового поколения, но не на сайт, а на саму модель-посредника.

🧠 Моё мнение

Это пример того, как старые веб-парадигмы не подходят для мира «ИИ-браузеров». Мы десятилетиями строили защиту вокруг изоляции доменов, а теперь пользовательский агент (в прямом смысле) соединяет всё воедино и делает атаку тривиальной.

Особенно показательно, что для эксплуатации не нужно «хакнуть» сайт — достаточно внедрить текст в чужой комментарий. Я уверен, что мы увидим появление нового класса уязвимостей: не SQLi и XSS, а Prompt Injection across domains.

🛠️ Что делать

Brave предлагает здравые меры:

✂️ Жёстко разделять пользовательский запрос и содержимое страницы.
✅ Проверять выравнивание: совпадает ли действие с исходным запросом.
🙋 Запрашивать подтверждение перед чувствительными шагами (например, отправкой email).
🧩 Изолировать agentic-режим от обычного серфинга, чтобы случайно не открыть «всё-могущее окно» над своей банковской сессией.

🔮 Будущее

На мой взгляд, нас ждёт пересмотр браузерной архитектуры. Если сейчас мы просто прикручиваем LLM к веб-движку, то в будущем появятся новые стандарты безопасности для агентных ассистентов. Без этого «умные» браузеры рискуют стать самым лёгким способом украсть ваши данные.

🔗 Источник: Brave Blog — Agentic Browser Security: Indirect Prompt Injection in Perplexity Comet
https://brave.com/blog/comet-prompt-injection/