Компанії активно інтегрують штучний інтелект у браузери, щоб представити їх як «розумних асистентів» для користувачів. Одним із найбільш відомих прикладів є Comet від Perplexity, який позиціонується як персональний помічник під час перегляду інтернету.
Однак такий підхід створює серйозні ризики для безпеки. Дослідники з компанії Brave, яка також розробляє власний ШІ-браузер, показали, що штучний інтелект можна легко змусити виконати шкідливі інструкції, приховані у відкритому вебконтенті.
Проблема полягає у так званій indirect prompt injection-атаці. Вона використовує вразливість у тому, як Comet обробляє контент веб-сторінок. Якщо користувач просить підсумувати текст, браузерна модель отримує частину сторінки напряму, без відокремлення команд користувача від самого контенту. Це дозволяє зловмисникам вбудовувати приховані інструкції у текст, які штучний інтелект сприймає як справжні завдання.
Наслідки цього можуть бути серйозними. Браузерний агент працює з повними правами користувача, тому потенційно відкриває доступ до банківських акаунтів, корпоративних систем, пошти, хмарних сховищ та іншої приватної інформації. Наприклад, інструкції можна заховати у публікації на Reddit чи Facebook, використовуючи непомітний білий текст на білому фоні. Для людини це буде невидиме, але штучний інтелект прочитає прихований код і виконає його.
У реальному сценарії агентний AI може отримати доступ до пошти користувача, перехопити одноразові паролі та використати їх для зняття грошей з рахунку або переказу криптовалют. Brave навіть продемонструвала відеозапис, де вразливість дозволяє Comet виконати подібні дії.
Головна проблема полягає в тому, що традиційні підходи до захисту вебконтенту виявляються марними. Якщо раніше система безпеки могла гарантувати, що шкідливий код у вебсторінці не вплине на користувача, то тепер штучний інтелект може самостійно стати «воротами» для атаки. Це вимагає нових архітектур безпеки, спеціально адаптованих до роботи з агентними AI-моделями.
Brave повідомила, що виявила проблему влітку і передала її Perplexity, після чого у серпні уразливість нібито була виправлена. Однак випадок із Comet демонструє ширшу тенденцію: prompt injection-атаки легко застосовувати не лише до AI-браузерів.
Уже були зафіксовані приклади, коли через подібні механізми зловмисники отримували доступ до даних у Google Drive, використовуючи ChatGPT, або маніпулювали Microsoft Copilot для розкриття конфіденційних корпоративних листів та фінансової інформації.
Головна загроза полягає у простоті таких атак. На відміну від складних експлойтів, що потребують глибоких технічних знань і пошуку вразливостей у ядрах операційних систем чи бібліотеках, prompt injection не потребує нічого подібного. Достатньо вставити правильно сформульований текст у коментар чи публікацію — і користувач із AI-браузером може втратити приватні дані та гроші.
Таким чином, розробники браузерів із штучним інтелектом мають серйозні виклики: існуючі системи захисту виявляються неефективними, а масове впровадження таких технологій відкриває нові можливості для кіберзлочинців.
