Пользуетесь современными AI-браузерами вроде ChatGPT Atlas или Perplexity Comet, оставаясь авторизованными во всех аккаунтах? Доверяете искусственному интеллекту вести ваши интернет-сессии? Вы и не догадываетесь, насколько это может поставить под угрозу все ваши данные. Сейчас расскажу, как AI-браузеры становятся легкой добычей для хакеров — и почему ни один антивирус неспособен вас защитить.
Почему у AI-браузеров столько дыр в безопасности?
Сейчас AI-браузеры опасны по трём основным причинам:
Объясню коротко, почему каждая из них — это серьезная угроза.
Невидимые команды: как AI делает то, о чём вы его не просили
Prompt injection — это вредоносные инструкции, спрятанные в тексте сайта, которые AI интерпретирует как ваши собственные команды. Проблема в том, что языковая модель в AI-браузере не умеет отличать ваши запросы от любого текста на странице. Хакер может встроить секретную команду прямо в контент сайта — и при анализе странички (например, для создания короткого резюме), AI «прочитает» вредоносный текст как своё задание и начнет выполнять его.
Такое уже случалось: исследователи из Brave тестировали Comet-браузер от Perplexity — попросили сжато описать ветку Reddit, где в одном из комментариев была спрятана опасная команда. В результате AI начал выкладывать в комментарии чужие email и коды одноразовой авторизации пользователя!
Почему одна взломанная вкладка AI-браузера — это доступ ко всем вашим данным
Обычные браузеры не позволяют вредоносному сайту из одной вкладки получить доступ к паролям в другой. Но AI-браузеры умеют переносить информацию между вкладками: они действуют как «агенты», которые могут объединять все ваши действия в интернете.
Если одна из вкладок поражена через prompt injection, злоумышленник может заставить AI просканировать все остальные страницы! То есть киберпреступник получает доступ ко всем вашим аккаунтам и вкладкам сразу — один взлом моментально захватывает всю сессию.
Опасная память: как браузер-ассистент знает о вас слишком много
Для вашего «удобства» AI-браузеры запоминают огромное количество сведений, например, в функции memories у ChatGPT Atlas. С одной стороны, это улучшает рекомендации и сокращает команды. Но если произойдет успешная атака через prompt injection — вся ваша личная информация может стать трофеем злоумышленников.
Если раньше хакерам приходилось выманивать пароли через фишинговые сайты или обманывать людей, то теперь достаточно обмануть ваш AI. Самое страшное — искусственный интеллект не различает, кому отправляет данные: вам или чужаку, представляющемуся вами.
Как взламывают AI-браузеры на самом деле: примеры атак
Как уже говорилось выше, главная опасность — скрытые команды prompt injection. Иногда их можно заметить, если внимательно приглядеться, но лучшие атаки организованы так, что обычный пользователь ничего не заметит. Вот как это работает на практике:
Незаметные команды: где прячут опасные инструкции, чтобы вы их не увидели
Простейший способ подсунуть AI вредоносную команду — спрятать её так, чтобы вы не могли прочитать, а машина — распознала. К примеру, делают текст невидимым с помощью прозрачного цвета в HTML: человек его не видит, а AI считает. Или уменьшают шрифт до микроскопического размера — для вас пустота, для машины информация осталась. Ещё частый трюк: команда запрятана в описании изображения (атрибут alt):
В браузере вы видите только картинку, а текст alt читают боты и парсеры — в том числе и AI. Только просмотрев исходный код страницы, можно заподозрить неладное. Но для AI-браузеров с анализом кода такие команды всегда на виду. Подсуньте AI убедительную скрытую инструкцию — и он выполнит любые действия. Например, пользователь Brennan из DEV-сообщества так взломал ChatGPT Atlas: AI безоговорочно следовал всем его «невидимым» указаниям.
Есть и более изощрённые трюки: вредоносный текст прячется прямо в изображении или PDF — цвета и шрифты подбираются так, что глаз ничего не улавливает, а AI с функцией OCR считает и выполнит скрытую команду. Попросите AI проанализировать изображение — и он послушно исполняет вредоносные инструкции, думая, что они от вас.
Опасные ссылки: когда угроза скрыта прямо в адресе страницы
Есть и другой способ: вредоносная команда спрятана не в содержимом сайта, а в самом URL. Например, после вопросительного знака в адресе страницы может быть прописана специальная инструкция для AI:
Вы открываете такую ссылку — и браузер тут же выполняет команду, указанную в URL. На вид всё безобидно, адрес сайта выглядит легитимно — тот же Perplexity.ai, а вот «хвост» ссылки содержит опасное задание для AI. Вы не заметите подмены.
Эксперты по безопасности из LayerX уже дали этой технике название — CometJacking. Есть даже короткое видео, где показывают, как связка обычной фишинговой страницы и такой ссылки может украсть ваши данные:
Антивирус бессилен перед такими атаками — и вот почему
Антивирусы ищут только то, что знают заранее: вредоносные программы, подозрительные сценарии, знакомые модели поведения. Если атака связана с запуском кода — антивирус сработает. Но здесь злоумышленник действует иначе: AI исполняет хитрые текстовые инструкции, и это больше похоже на обман, чем на традиционный взлом системы.
Не пропустите свежие разборы рисков AI-браузеров — подпишитесь!
Суть в том, что вредоносные команды выполняются прямо на вашем устройстве — это выглядит как обычная работа AI-браузера. Открыты реальные страницы, действия привычны, а к вашим файлам никто не лезет. Если даже есть доступ к файлам, это разрешил сам пользователь ради удобства. Проблема в том, что теперь сам AI добровольно отдаёт ваши данные злоумышленнику, следуя ложным инструкциям — а антивирус не в силах отличить это от штатной работы.
Но это не значит, что антивирус больше не нужен: обычные вирусы и трояны он всё так же ловит. А вот с prompt injection не справится ни одна защита.
Как защитить себя при работе с AI-браузерами: подробные советы
Пока еще не существует полностью безопасного AI-браузера. Где-то взломать чуть сложнее благодаря архитектуре, но стопроцентной защиты нет. Даже команда Anthropic (создатели Claude) открыто признают: проблему prompt injection пока не решили.
Поэтому самый разумный способ не стать жертвой — использовать AI-браузеры лишь как экспериментальные инструменты и не доверять им обработку важных или личных данных. Не пользуйтесь ими для работы с почтой, соцсетями, интернет-банком и другой конфиденциальной информацией.
Если вам всё-таки необходим AI-браузер, работайте в режиме «гостя», не входите в свои аккаунты и не делитесь с искусственным интеллектом лишними сведениями. Чем меньше информации вы оставляете — тем меньше могут у вас украсть.
И главное — не разрешайте AI полностью автоматизировать работу: контролируйте его действия, следите за открываемыми сайтами, и при малейших подозрениях сразу останавливайте процесс.
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru