Браузеры ChatGPT Atlas и Comet от Perplexity с функциями искусственного интеллекта несут в себе новые типы уязвимостей. Эксперты предупреждают, что способов их закрыть пока нет.
Слишком автономные агенты
ChatGPT Atlas, Comet от Perplexity, Fellou и некоторые другие современные браузеры оснащены функцией автономного агента: нейросеть распознаёт запрос пользователя и выполняет действия на сайтах от его лица. Например, оформляет заказ в интернет-магазине или заполняет форму.
Эксперты по кибербезопасности предупреждают, что браузерные агенты подвержены атакам типа Ramped Injection. Злоумышленники скрывают вредоносные инструкции для нейросети на веб-странице. И когда агент сканирует её, то обнаруживает промпт и исполняет его, считая, что тот поступил от человека.
Поскольку агент способен использовать авторизации на сайтах, исполнение вредоносного промта может привести к передаче хакерам конфиденциальных данных, причём вплоть до доступа к банковскому счёту через личный кабинет.
Исследователи из команды разработки браузера Brave описали несколько примеров атак. Промпт можно спрятать в параметры ссылки или замаскировать прямо на странице, использовав белый текст на белом фоне. В демонстрации Comet в автоматическом режиме получает одноразовый код для входа в аккаунт Perplexity и публикует его вместе с адресом электронной почты в комментариях на Reddit.
При этом стоит учитывать, что агент не сканирует все посещаемые сайты — пользователь должен запустить ИИ-функцию. Например, для составления краткого содержания страницы или автономного выполнения действий.
Создатели Brave подчёркивают: внедрение вредоносных промптов — системная проблема, с которой сталкиваются все агентские браузеры. В Perplexity признают, что подобные атаки невозможно предотвратить стандартными методами. Поэтому требуется «полное переосмысление парадигмы безопасности».
Большие языковые модели не понимают, откуда именно поступают данные: разделения на инструкции от пользователя и сканируемую информацию нет, объясняет техдиректор McAfee Стив Гробман.
Какие есть опции
ChatGPT Atlas позволяет использовать агента в режиме Logged Out: нейросеть лишается доступа к авторизациям пользователя и работает как будто с чистым профилем браузера.
Кроме того, ИИ-браузеры отображают этапы работы агента в реальном времени. Можно следить за выполнением инструкций и останавливать ИИ в случае подозрительных действий. Также эксперты рекомендуют регулярно обновлять ПО и применять двухфакторную аутентификацию на сайтах — тогда агент не сможет зайти в личный кабинет банка или электронную почту без вашего ведома.