Компании активно интегрируют искусственный интеллект в браузеры, чтобы представить их пользователям как «умных помощников». Одним из наиболее известных примеров является Comet от Perplexity, который позиционируется как персональный помощник при просмотре интернета.
Однако такой подход создает серьезные риски для безопасности. Исследователи из компании Brave, которая также разрабатывает собственный ИИ-браузер, показали, что искусственный интеллект можно легко заставить выполнить вредоносные инструкции, скрытые в открытом вебконтенте.
Проблема заключается в так называемой indirect prompt injection-атаке. Она использует уязвимость в том, как Comet обрабатывает контент веб-страниц. Если пользователь просит суммировать текст, браузерная модель получает часть страницы напрямую, без отделения команд пользователя от самого контента. Это позволяет злоумышленникам встраивать скрытые инструкции в текст, которые искусственный интеллект воспринимает как настоящие задачи.
Последствия этого могут быть серьезными. Браузерный агент работает с полными правами пользователя, поэтому потенциально открывает доступ к банковским аккаунтам, корпоративным системам, почте, облачным хранилищам и другой частной информации. Например, инструкции можно спрятать в сообщении на Reddit или Facebook, используя незаметный белый текст на белом фоне. Для человека это будет невидимо, но искусственный интеллект прочитает скрытый код и выполнит его.
В реальном сценарии агентский ИИ может получить доступ к почте пользователя, перехватить одноразовые пароли и использовать их для снятия денег со счета или перевода криптовалют. Brave даже продемонстрировала видеозапись, в которой уязвимость позволяет Comet выполнять аналогичные действия.
Главная проблема заключается в том, что традиционные подходы к защите вебконтента оказываются бесполезными. Если раньше система безопасности могла гарантировать, что вредоносный код в вебстранице не повлияет на пользователя, то теперь искусственный интеллект может самостоятельно стать «воротами» для атаки. Это требует новых архитектур безопасности, специально адаптированных для работы с агентными моделями ИИ.
Brave сообщила, что обнаружила проблему летом и передала ее Perplexity, после чего в августе уязвимость якобы была исправлена. Однако случай с Comet демонстрирует более широкую тенденцию: prompt injection-атаки легко применять не только к AI-браузерам.
Уже были зафиксированы примеры, когда через подобные механизмы злоумышленники получали доступ к данным в Google Drive, используя ChatGPT, или манипулировали Microsoft Copilot для раскрытия конфиденциальных корпоративных писем и финансовой информации.
Главная угроза заключается в простоте таких атак. В отличие от сложных эксплойтов, требующих глубоких технических знаний и поиска уязвимостей в ядрах операционных систем или библиотеках, prompt injection не требует ничего подобного. Достаточно вставить правильно сформулированный текст в комментарий или публикацию — и пользователь с AI-браузером может потерять личные данные и деньги.
Таким образом, разработчики браузеров с искусственным интеллектом имеют серьезные вызовы: существующие системы защиты оказываются неэффективными, а массовое внедрение таких технологий открывает новые возможности для киберпреступников.
