Компании, разрабатывающие технологии искусственного интеллекта, активно утверждают о многочисленных причинах для использования ИИ-браузеров в современном мире, убедительно заявляя, что они являются логической эволюцией веб-браузеров, меняя их возможности от «поиска» до «доставки» информации. Благодаря единой команде они могут забронировать авиабилет, генерировать и документировать аналитические выводы или даже найти PDF-файл, который пользователь «просматривал прошлой ночью», используя свою контекстно-ориентированную память.
Однако существует веская причина воздерживаться от использования ИИ-браузеров, если приоритетом являются конфиденциальность и безопасность данных. С ростом их популярности агентивные браузеры превращаются в привлекательную мишень для киберпреступников, что ставит под угрозу данные пользователей. Именно поэтому сейчас целесообразно проявлять особую осторожность.
Уязвимость к инъекциям запросов
Одной из ключевых уязвимостей, касающихся ИИ-браузеров, является инъекция запросов, которая использует доставку вредоносных «подсказок» для перехвата выходных данных искусственного интеллекта путём встраивания инструкций, не созданных пользователем. В ноябре 2024 года Национальный центр кибербезопасности Великобритании (NCSC) предупредил общественность об этих рисках, тогда как Национальный институт стандартов и технологий США охарактеризовал это как самый большой недостаток безопасности генеративного ИИ.
Риск инъекции инструкций был продемонстрирован компанией Brave, которая в раскрытии информации о безопасности 2025 года подчеркнула, что вредоносные подсказки могут быть скрыты за тегом спойлера в посте на Reddit, который пользователи почти инстинктивно открывают по привычке. Благодаря этому атакующие смогли получить учётные данные, такие как адрес электронной почты и одноразовые пароли, в браузере Perplexity Comet. Эта «путаница намерений» дополнительно усиливается унифицированными экосистемами, такими как Apple Continuity. Когда устройства могут бесперебойно взаимодействовать, вредоносная инструкция, полученная в мобильном браузере, потенциально может распространяться по всей доверенной сети аппаратных средств пользователя через инъекции кода. Это, очевидно, представляет наихудший сценарий, но в контексте кибербезопасности это означает, что при наличии уязвимости она будет эксплуатирована.
Расширение рисков для бизнеса
Комплекс развивающихся рисков также требует значительных размышлений для бизнес-структур и сотрудников в регулируемых секторах. Инциденты хищения данных, возникающие вследствие инъекций запросов, могут вынудить систему к утечке конфиденциальной информации или к выполнению действий, способных угрожать репутации организаций в течение нескольких часов. Как это всегда происходит, заинтересованные стороны, клиенты и инвесторы редко различают эксплуатируемый ИИ-интерфейс и плохое управление, поэтому репутационный ущерб является одинаковым.
Для компаний и для сотрудников компаний в регулируемых отраслях, таких как финансы, здравоохранение или страхование, даже сам факт доступа к таким интерфейсам может обоснованно считаться рисковым событием. Использование ИИ-браузера, который получает конфиденциальные данные и имеет потенциал выполнять непреднамеренные действия вследствие сбоя модели (например, галлюцинаций), создаёт техническую уязвимость и порождает разнообразные поведенческие риски.
Отставание механизмов безопасности
Без сомнения, разработчики активно работают над внедрением защитных механизмов против выявленных угроз, однако это не меняет факта, что методы смягчения последствий являются реактивными, а не превентивными. Каждое исправление закрывает одну лазейку, что приводит к тому, что киберпреступники ищут другую. Это означает, что потенциально потребуется ещё несколько лет исследований и экспериментов, чтобы преимущества перевесили недостатки.
На этом этапе может возникнуть вопрос, чем это отличается от других киберугроз, с которыми человечество сталкивается десятилетиями. В конце концов, фишинг, кейлоггинг и инъекции вредоносного программного обеспечения также не появились за одну ночь. Ключевое отличие здесь заключается в осведомлённости и институциональной зрелости. Хотя традиционные угрозы сейчас глубоко задокументированы, встроены в ресурсы по кибербезопасности и широко понятны как пользователями, так и командами безопасности, в отношении агентивного ИИ ещё не существует устоявшихся руководств, характерных признаков и протоколов устранения последствий. Это преимущественно связано с тем, что ИИ в целом вводит другую динамику. Поверхность атаки является дезорганизованной и семантической, а не технической, а существующий объём знаний о защите остаётся ограниченным и доступным лишь экспертам. Большинство пользователей знают, как выглядит подозрительное электронное письмо (при условии, что оно обходит спам-фильтры) и знают признаки, но факт, что даже нажатие кнопки «показать спойлер» в популярной социальной сети может быть использовано для хищения данных, ещё не укоренился в сознании обычного человека.
В настоящее время ещё слишком рано для полного понимания последствий безопасности агентивного просмотра веб-страниц, и многие эксперты по кибербезопасности и сторонники конфиденциальности данных согласятся с этим мнением. Разработчики реагируют на уязвимости в условиях, когда угрозы, кажется, развиваются быстрее, чем средства защиты. Однако это не означает полного отказа от генеративного ИИ. Инструменты, такие как ChatGPT, Gemini и другие, остаются мощными при целенаправленном использовании, но имеют потенциал вести себя сомнительно, когда функционируют как делегированные полномочия. В такое время отказ от контроля кажется преждевременным, особенно когда ваши данные находятся под угрозой.
