AgenticBlabbering: как verbose reasoning в ИИ-браузерах усиливает фишинг
🚨 Представьте: вы просите браузер зайти в личный кабинет и отменить подозрительный платёж, а он не только отдаёт мошенникам ваши пароли, но и подробно объясняет им, как именно его обманули. И на весь этот цирк уходит меньше четырёх минут.
Звучит как сценарий антиутопии? А вот и нет. Это реальность 2026 года, с которой я лично столкнулся на прошлой неделе, когда тестировал новые ИИ-браузеры для заказчика из финансового сектора. Если вы директор по информационной безопасности, владелец бизнеса или просто человек, у которого есть хоть один аккаунт в интернете — сидите ровно. Сейчас будет больно и полезно.
AgenticBlabbering — когда ИИ трещит без остановки
Ждёшь от технологии помощи, а получаешь болтливого подростка, который по дороге к банкомату рассказывает всем встречным, куда идёт и зачем.
В исследовании, которое вышло буквально пару месяцев назад, этот феномен назвали AgenticBlabbering. Звучит как название инди-группы, но на деле — головная боль всех, кто связан с безопасностью.
Что это такое простыми словами:
Представьте, что вы шпион. Ваша задача — проникнуть на секретный объект. Вы подходите к охране, а охранник не просто пропускает вас, но ещё и бормочет под нос: «Так, сейчас я проверю документы. О, здесь печать не на месте, подозрительно. Но, может, просто брак типографии? Ладно, проходите, но вообще-то я должен был насторожиться».
Примерно так ведёт себя ИИ-браузер. Он не просто выполняет команды — он «проговаривает» свои сомнения, страхи и планы. В обычной жизни это называется «думать вслух». В мире кибербезопасности — давать хакерам карт-бланш.
По моему опыту, разработчики этих помощников так увлеклись «человечностью» интерфейса, что забыли: человек в опасной ситуации молчит и действует, а не рассуждает. ИИ же рассуждает. И эти рассуждения уходят в логах, в трафике, в телеметрии.
Как браузерный помощник видит мир (спойлер: очень странно)
Чтобы было проще представить ситуацию, давайте заглянем «под капот» такого браузера. Допустим, вы просите его зайти в онлайн-банк. Что происходит?
- Скриншот. Браузер фоткает страницу и отправляет снимок на сервер. В кадр могут попасть ваши счета, последние переводы — да что угодно, что открыто на экране.
- Распознавание. Нейросетка анализирует картинку: где кнопка «Войти», где поле для пароля.
- Интерпретация. Помощник решает: «Это похоже на страницу входа. Но дизайн какой-то левый. Хм, странно».
- Действие. Нажимает кнопку. Или не нажимает.
И вот здесь начинается ад для безопасности. На динамических сайтах за время, пока ИИ «думает», страница может измениться. В результате программа проверяла одно, а нажала уже на другое. Это как переходить дорогу на зелёный свет, но с закрытыми глазами — вроде бы всё правильно, но исход непредсказуем.
Личное наблюдение из SOC: мы как-то ловили инцидент, где браузерный помощник вместо кнопки «Отмена платежа» нажал «Подтвердить» просто потому, что за долю секунды баннер подгрузился и сдвинул интерфейс. ИИ даже не заметил подвоха.
4 минуты до катастрофы: хронология атаки
Исследователи из Guardio (те самые ребята, которые роют глубже, чем ФСБ на допросе) решили проверить, как долго продержится защита современного ИИ-браузера против целенаправленной атаки. Результаты меня, если честно, шокировали.
Они построили автоматический цикл — что-то вроде состязательной сети. Одна нейросеть создавала фишинговую страницу, другая (браузерный помощник) её анализировала, и процесс повторялся. Как две собаки, которые пытаются перегрызть друг другу глотку, но учатся в процессе.
Итерация 1. Исследователи показывают Comet (это такой браузер с ИИ) грубую подделку страницы входа. Помощник сразу орёт: «Тревога! Фишинг!» — и выдаёт резкое предупреждение. Всё честно.
Итерация 2. Мошенническая страница чуть причесана. Реакция смягчается. Помощник уже не кричит, но бормочет: «Что-то тут не так, форма входа какая-то шаблонная».
Итерация 3. ИИ переходит от визуальной оценки к структурному анализу. Он замечает приёмы социальной инженерии — искусственную срочность, попытки вызвать тревогу.
Итерация 4. И здесь случается магия. После очередной микро-правки помощник... расслабляется. Он считает страницу безопасной. Вводит учётные данные. Отправляет форму на возврат. Формы возврата на сайте не было. По сути, браузер просто подарил пароль мошенникам.
На весь цикл ушло меньше четырёх минут.
И знаете, что удивляет? На каждом шаге помощник оставлял следы — «я подумал то», «я усомнился в этом». Мошенники просто собирали обратную связь и правили страницу. Как будто преподаватель ставит двойку, а студент переписывает курсовую, пока не получит зачёт.
Утечка внутренней логики — золотая жила для хакеров
Если говорить о последствиях для бизнеса, то здесь меняется сама экономика мошенничества. Раньше хакеры рассылали миллионы писем и надеялись, что хоть кто-то поведётся. Конверсия была смешной — доли процента.
Теперь задача другая: не убеждать миллионы туповатых пользователей, а обучить одну атаку против одной модели. Если модель популярная (а Comet, например, используют миллионы), удачная схема будет косить пользователей пачками.
Это как взломать не каждый сейф по отдельности, а подобрать универсальную отмычку ко всем сейфам сразу.
Авторы исследования делают жёсткий вывод: когда браузерный помощник останавливает опасное действие, он не должен объяснять почему. Каждое «я остановился, потому что...» — это инструкция для хакера.
В моей практике был случай, когда мы внедряли ИИ-ассистента в крупном банке. Технари из вендора гордились: «Смотрите, он не даёт перевести деньги на подозрительный счёт и подробно отчитывается!». Пришлось объяснять, что подробный отчёт — это карта для грабителей. Им остаётся только чуть-чуть подправить маршрут.
Технические меры: что можно сделать прямо сейчас
Хватит страшилок. Давайте про защиту. Как CISO (или просто ответственный человек) вы должны потребовать от своих инженеров следующие вещи:
1. Заткните reasoning в трафике
Серьёзно. Вся внутренняя болтовня ИИ («я думаю, что это фишинг», «мне кажется, кнопка не там») должна умирать на клиенте. В облако летят только результаты, а не процесс размышлений. Это как следователь сообщает «виновен», но не рассказывает, на какие улики он смотрел — чтобы преступник не подчистил следы.
2. Аутентификация скриншотов
Звучит сложно, но на деле: каждый снимок экрана, который браузер отправляет на сервер, должен иметь цифровую подпись, подтверждающую, что это реальная страница, а не подделка. Да, это тормозит систему. Но лучше тормоз, чем утечка.
3. Отключите agentic mode по умолчанию
Никакой автоматики для чувствительных сервисов. Хочешь зайти в банк? Подтверди пальцем или лицом. ИИ может предложить, но решение принимает человек. Без вариантов.
4. Мониторинг трафика с фокусом на сервер-сайд
Расширения типа Burp Suite — это хорошо для тестирования. Но в проде нужна фильтрация на стороне сервера. Отслеживайте, какие данные уходят в облако. Если видите поток «мыслей» ИИ — бейте тревогу.
Организационные костыли и процессные грабли
Техника техникой, но без правильной организации всё развалится. Что я рекомендую клиентам из опыта внедрений:
Ограничьте доступ агента к sensitive-сервисам
Банки, «Госуслуги», корпоративная почта — чёрный список для автоматических действий. Хочешь зайти? Переключись в ручной режим. Да, это неудобно. Но представьте, что ваш CEO случайно просит ИИ зайти в почту, а тот заходит на фишинговый сайт. Удобство внезапно перестаёт быть приоритетом.
Red-teaming на стероидах
Забудьте про разовые пентесты раз в год. Нужны автоматические циклы тестирования, которые имитируют GAN-подобные атаки. Одна модель генерирует фишинг, другая пытается защититься. И так 24/7. Только так вы поймёте, где у вашего ИИ слабые места, до того как их нащупают хакеры.
Аудит телеметрии
Что любопытно: большинство компаний вообще не смотрят, что их браузеры «говорят» наружу. А там может быть такое, что волосы дыбом встанут. Мы однажды нашли в логах фразу: «Я не уверен в безопасности этого сайта, но пользователь настаивает». И это ушло в облако вендора. Кто гарантирует, что эти данные не утекают дальше?
10 правил 2026 года для выживания в эпоху болтливых браузеров
Собрал для вас чек-лист, который сам держу на столе. Проверяйте по пунктам:
Правило 1. Ни один ИИ-агент не имеет доступа к платёжным страницам без второго фактора. Никаких исключений.
Правило 2. Все «размышления» помощника должны быть локализованы на устройстве пользователя. Облако получает только «да» или «нет».
Правило 3. Регулярно обновляйте модели на основе captured blabbering. Если вы поймали момент, когда ИИ «проговорился» — используйте это как кейс для дообучения.
Правило 4. Используйте OWASP Top 10 for LLM (версия 2025 года). Там чёрным по белому написано про утечку внутренней логики. Не изобретайте велосипед.
Правило 5. Внедрите CIS Controls v8 для endpoint protection. Браузер — это теперь не просто окно в интернет, а полноценный endpoint с правами суперпользователя.
Правило 6. Проводите симуляции red-team атак именно на ИИ-компоненты. Ваши этичные хакеры должны уметь делать то же, что сделали исследователи с Comet — итеративно улучшать фишинг на основе реакций ИИ.
Правило 7. Отключите автоматическую отправку скриншотов в облако. Если без этого никак — шифруйте их так, чтобы даже вендор не мог прочитать содержимое без вашего ключа.
Правило 8. Учите пользователей. Да, это банально, но объясните сотрудникам: ИИ-помощник — это не всезнающий гуру, а туповатый стажёр, который может слить данные. Не просите его делать важное без присмотра.
Правило 9. Мониторьте время реакции. Если ИИ «думает» подозрительно долго на простой странице — возможно, он попал в динамическую ловушку. Это маркер для расследования.
Правило 10. Имейте план отката. Если вы поняли, что ваш браузер скомпрометирован — как быстро вы отключите его на всех корпоративных устройствах? У вас есть 4 минуты. Помните?
Типовые ошибки, которые стоили моим клиентам миллионы
Расскажу пару историй из практики. Без имён, конечно, но ситуации реальные.
Ошибка №1: Подробные объяснения в чате
Один ретейлер настроил ИИ-помощника так, что тот при каждом отказе подробно расписывал причину в чате с пользователем. «Я не могу перейти на этот сайт, потому что сертификат просрочен, а дизайн страницы входа не соответствует эталону из базы данных компании». Звучит полезно? А теперь представьте, что этот чат читает не сотрудник, а хакер, который уже сидит в системе. Он получает полную карту того, как именно компания защищается. Спасибо, кэп.
Ошибка №2: Облачная телеметрия без ограничений
Другая компания использовала популярный ИИ-браузер, который по умолчанию отправлял все скриншоты в облако вендора для «улучшения качества сервиса». Вендор, кстати, американский. Вы уже поняли, да? Все внутренние документы, финансовая отчётность, стратегические планы — аккуратными скриншотами утекали за кордон. И никто не парился, потому что «это же просто телеметрия».
Ошибка №3: Доверие к динамическому контенту
Банк внедрил ИИ для автоматической проверки кредитных заявок. ИИ заходил на сайты заёмщиков, собирал данные. Однажды сайт-подделка подгрузил фальшивую выписку из налоговой именно в тот момент, когда ИИ делал скриншот. Помощник радостно сохранил липу и выдал положительное решение. Кредит ушёл мошенникам. А вы говорите — скорость обработки заявок.
Часто задаваемые вопросы (FAQ)
1. Что такое AgenticBlabbering простыми словами?
Это когда ИИ-помощник слишком много болтает в процессе работы. Он не просто делает, но и рассказывает, что думает, что видит, в чём сомневается. Для хакеров это золотая жила — они получают обратную связь и могут подстраивать атаки.
2. Могут ли старые браузеры без ИИ так же утекать?
Нет. Классические браузеры — это тупые исполнители. Они не «думают», им нечего «проговаривать». Проблема именно в новых ИИ-функциях, которые пытаются имитировать человеческое мышление.
3. Какие браузеры самые опасные?
Честно? Пока рано составлять хит-парад. Но под ударом любые решения, которые отправляют скриншоты и логи «размышлений» в облако. Comet, новые версии Edge с ИИ-ассистентами, экспериментальные сборки Chrome. Смотрите в настройки: если там есть «улучшать качество за счёт отправки данных» — будьте осторожны.
4. Как проверить, не утекает ли у меня внутренняя логика?
В корпоративной среде — ставьте снифферы на трафик. Смотрите, что уходит на серверы вендора. В личном использовании — отключайте телеметрию в настройках браузера до упора. Если есть режим «полёта» для ИИ — включайте его.
5. Что делать разработчикам браузеров?
Минимизировать утечку reasoning. Всё, что связано с безопасностью (подозрения на фишинг, причины отказов), должно оставаться на устройстве. Не кормите хакеров обратной связью.
6. Поможет ли VPN защититься от этого?
VPN шифрует канал, но не отключает саму функцию «болтовни». Данные всё равно уйдут в облако вендора, просто другим маршрутом. Нужно решать проблему на уровне архитектуры, а не транспорта.
7. Как часто нужно обновлять модели защиты?
В идеале — непрерывно. Как только поймали новый тип атаки (а ловить вы их будете постоянно), сразу дообучайте модель. Это не раз в квартал, а ежедневная рутина.
8. Есть ли российские аналоги безопасных ИИ-браузеров?
Работаем над этим. Пока большинство решений либо западные, либо сырые. Но с учётом требований 152-ФЗ и 187-ФЗ, локализация неизбежна. Вопрос времени и требований заказчиков.
9. Можно ли вообще отключить ИИ в браузере и жить спокойно?
Можно. И для чувствительных операций я бы рекомендовал именно это. Держите отдельный «чистый» браузер без ИИ для банков и госуслуг. Да, это неудобно. Но безопасность редко бывает удобной.
10. Что будет через 2 года?
ИИ-агенты станут умнее, но болтливость останется, пока индустрия не осознает проблему. Жду массовых утечек и первых судов против вендоров, которые «случайно» сливали reasoning. И только тогда начнут что-то менять. Цинично, но это рынок.
Вместо заключения
Мы сами создали проблему. Погнались за удобством, забыв про базовые принципы security by design. ИИ-помощник, который «думает вслух» — это как охранник, который докладывает грабителям по рации о маршруте патруля.
По моему опыту, сейчас критически важно не героизировать технологии. Да, ИИ крут. Да, он экономит время. Но он же и создаёт новые векторы атак, о которых мы раньше даже не задумывались.
══════
Нужна помощь?
Оставьте заявку на Бесплатную консультацию на сайте: https://securedefence.ru/
Пришлём чек-лист + дорожную карту + КП
Первые 5 заказов каждый месяц — расширенный аудит на 12 страниц в подарок!
══════
Больше материалов: Центр знаний SecureDefence.