SquareX a publié une recherche critique sur la sécurité exposant des vulnérabilités majeures dans les navigateurs IA. Cette recherche pourrait permettre aux attaquants d'exploiter les navigateurs IA pour exfiltrer des données sensibles, distribuer des logiciels malveillants et obtenir un accès non autorisé aux applications SaaS d'entreprise. Le moment de cette divulgation est particulièrement significatif alors que des entreprises majeures, notamment OpenAI, Microsoft, Google et The Browser Company, ont annoncé ou lancé leurs propres navigateurs IA.SquareX a publié une recherche critique sur la sécurité exposant des vulnérabilités majeures dans les navigateurs IA. Cette recherche pourrait permettre aux attaquants d'exploiter les navigateurs IA pour exfiltrer des données sensibles, distribuer des logiciels malveillants et obtenir un accès non autorisé aux applications SaaS d'entreprise. Le moment de cette divulgation est particulièrement significatif alors que des entreprises majeures, notamment OpenAI, Microsoft, Google et The Browser Company, ont annoncé ou lancé leurs propres navigateurs IA.

SquareX montre que les navigateurs d'IA sont victimes d'attaques OAuth, de téléchargements de logiciels malveillants et de distribution de liens malveillants

Par : Hackernoon

2025/10/10 02:19

Palo Alto, Californie, 9 octobre 2025/CyberNewsWire/--Alors que les navigateurs IA gagnent rapidement en adoption dans les entreprises, SquareX a publié une recherche critique sur la sécurité exposant des vulnérabilités majeures qui pourraient permettre aux attaquants d'exploiter les navigateurs IA pour exfiltrer des données sensibles, distribuer des logiciels malveillants et obtenir un accès non autorisé aux applications SaaS d'entreprise.

Le moment de cette divulgation est particulièrement significatif alors que des entreprises majeures, notamment OpenAI, Microsoft, Google et The Browser Company, ont annoncé ou lancé leurs propres navigateurs IA.

Avec Chrome et Edge représentant à eux seuls 70% de la part de marché des navigateurs, il est très probable que la majorité des navigateurs grand public à l'avenir seront des navigateurs IA. Il est donc essentiel que les organisations se préparent aux risques de sécurité associés à ce changement fondamental.

Dans le blog technique, SquareX révèle plusieurs façons dont Comet a été exploité, illustrant chacune par des études de cas. Dans un exemple, en accomplissant une tâche de recherche, Comet est tombé victime d'une attaque OAuth, donnant aux attaquants un accès complet à l'e-mail et au Google Drive de la victime.

Cela a permis aux attaquants d'exfiltrer tous les fichiers stockés sur le compte de la victime, y compris ceux partagés par des collègues et des clients. Dans un autre cas, le navigateur IA accomplissait des tâches dans la boîte de réception de l'utilisateur - un cas d'utilisation courant annoncé par Comet lui-même - lorsqu'il a fini par distribuer un lien malveillant au collègue de la victime via une invitation de calendrier. D'autres exemples incluent le fait de tromper Comet pour qu'il télécharge des logiciels malveillants connus et envoie des fichiers sensibles aux attaquants par e-mail.

Malheureusement, les solutions existantes comme les EDR et SASE/SSE ont une visibilité limitée sur les navigateurs. Aujourd'hui, il n'existe aucun moyen de différencier les activités effectuées par un utilisateur ou par Comet, car les deux requêtes réseau proviennent du même navigateur.

Il est donc essentiel que les entreprises disposent d'une solution native au navigateur qui puisse différencier les identités des Agents d'IA et des utilisateurs, leur permettant d'appliquer des garde-fous différenciés sur les données et les actions auxquelles le navigateur IA peut accéder ou effectuer.

Avec l'intégration croissante de l'IA pilotée par l'agent dans les navigateurs, les Agents d'IA pourraient bientôt dominer l'activité de navigation par rapport aux utilisateurs humains. Ce changement nécessite une collaboration entre les entreprises, les développeurs de navigateurs et les entreprises de cybersécurité pour créer des cadres de sécurité robustes et des mesures de protection pour empêcher les attaquants d'exploiter les navigateurs IA.

Les découvertes de SquareX fournissent un avertissement crucial sur les dangers de s'appuyer sur des solutions traditionnelles pour résoudre les menaces modernes, et espèrent servir d'encouragement pour une coopération urgente à l'échelle de l'industrie.

À propos de SquareX

L'extension de navigateur de SquareX transforme n'importe quel navigateur sur n'importe quel appareil en un navigateur sécurisé de niveau entreprise, y compris les navigateurs IA. La solution Browser Detection and Response (BDR), première de l'industrie de SquareX, permet aux organisations de se défendre de manière proactive contre les menaces natives du navigateur, y compris les Agents d'IA malveillants, les attaques de réassemblage du dernier kilomètre, les extensions malveillantes et les attaques d'identité.

Contrairement aux navigateurs d'entreprise dédiés, SquareX s'intègre parfaitement aux navigateurs grand public existants des utilisateurs, offrant une sécurité sans compromettre l'expérience de l'utilisateur. Plus d'informations sur l'innovation basée sur la recherche de SquareX sont disponibles sur www.sqrx.com.

Contact

Responsable des relations publiques

Junice Liew

SquareX

junice@sqrx.com

:::tip Cette histoire a été publiée comme communiqué de presse par Cybernewswire dans le cadre du Programme de blogging d'affaires de HackerNoon. Faites vos propres recherches avant

:::

Clause de non-responsabilité : les articles republiés sur ce site proviennent de plateformes publiques et sont fournis à titre informatif uniquement. Ils ne reflètent pas nécessairement les opinions de MEXC. Tous les droits restent la propriété des auteurs d'origine. Si vous estimez qu'un contenu porte atteinte aux droits d'un tiers, veuillez contacter service@support.mexc.com pour demander sa suppression. MEXC ne garantit ni l'exactitude, ni l'exhaustivité, ni l'actualité des contenus, et décline toute responsabilité quant aux actions entreprises sur la base des informations fournies. Ces contenus ne constituent pas des conseils financiers, juridiques ou professionnels, et ne doivent pas être interprétés comme une recommandation ou une approbation de la part de MEXC.