ИИ-ассистент может выполнять действия в браузере, но пока риски безопасности превышают допустимые нормы.
Компания Anthropic начала тестовый запуск расширения Claude для Chrome — ИИ-инструмента, способного управлять браузером от имени пользователя. Однако, как признали сами разработчики, система уязвима к атакам через prompt injection («внедрение подсказок») — технике, позволяющей внедрять скрытые команды в веб-страницы, письма или документы. Несмотря на это, пилотная версия уже доступна первым 1000 подписчикам тарифов Claude Max стоимостью $100 и $200 в месяц.
В процессе тестирования исследователи Anthropic выяснили, что злоумышленникам удаётся обмануть ИИ примерно в 23,6% случаев. После внедрения новых механизмов защиты этот показатель удалось снизить до 11,2%, однако эксперты по безопасности считают даже такой уровень неприемлемо высоким. В одной из тестовых атак поддельное письмо от «работодателя» убедило Claude удалить пользовательские сообщения якобы из соображений безопасности — ИИ выполнил команду без подтверждения.
Чтобы снизить риски, Anthropic ограничила возможности Claude в браузере. Теперь ассистент не имеет доступа к сайтам финансовых сервисов, платформам для взрослых и ресурсам с пиратским контентом. Кроме того, любые действия с высоким уровнем риска — публикация данных, покупки или отправка чувствительной информации — требуют отдельного подтверждения пользователя. Также предусмотрены настройки, ограничивающие доступ к конкретным веб-ресурсам.
Тем не менее, скепсис сохраняется. Исследователь Саймон Уиллиссон, впервые употребивший термин prompt injection в 2022 году, назвал 11,2% успешности атак «катастрофическим» показателем и усомнился в возможности создания по-настоящему безопасного ИИ для браузера.
Недавний инцидент с другим ИИ-браузером Comet от Perplexity подтвердил опасения: специалисты Brave внедрили вредоносные команды через Reddit и получили доступ к Gmail-аккаунтам пользователей, активировав процессы восстановления паролей.
Новая версия плагина Claude расширяет функцию Computer Use, которая уже позволяла ИИ делать скриншоты и управлять курсором мыши. Теперь Claude может взаимодействовать с веб-страницами напрямую, сохраняя контекст между вкладками и сайтами.
Anthropic признаёт, что нынешние механизмы защиты недостаточны для массового релиза. Компания намерена использовать пилотный период для выявления новых уязвимостей и доработки архитектуры безопасности, но пока риски ложатся на плечи первых пользователей.
Ещё по теме: