Les navigateurs IA comme Atlas d'OpenAI et Comet de Perplexity promettent de la commodité. Mais ils s'accompagnent de risques majeurs en matière de cybersécurité, formant un nouveau terrain de jeu pour les pirates.

Les navigateurs Web pilotés par l'IA sont en concurrence avec les navigateurs traditionnels comme Google Chrome et Brave, visant à attirer des milliards d'utilisateurs quotidiens d'Internet.

Il y a quelques jours, OpenAI a lancé Atlas, tandis que Comet de Perplexity existe depuis des mois. Les navigateurs pilotés par l'IA peuvent taper et cliquer à travers les pages. Les utilisateurs peuvent lui demander de réserver un vol, de résumer des e-mails, ou même de remplir un formulaire.

Fondamentalement, les navigateurs pilotés par l'IA sont conçus pour agir comme des assistants numériques et naviguer sur le Web de manière autonome. Ils sont salués comme le prochain grand bond en matière de productivité en ligne.

Les chercheurs en sécurité signalent des failles dans les navigateurs IA

Mais la plupart des consommateurs ne sont pas conscients des risques de sécurité liés à l'utilisation des navigateurs IA. Ces navigateurs sont vulnérables à des piratages sophistiqués via un nouveau phénomène appelé injection de prompt.

Les pirates peuvent exploiter les navigateurs Web IA, accéder aux sessions connectées des utilisateurs et effectuer des actions non autorisées. Par exemple, les pirates peuvent accéder aux e-mails, aux comptes de médias sociaux, ou même consulter les détails bancaires et déplacer des fonds.

Selon une recherche récente de Brave, les pirates peuvent intégrer des instructions cachées dans des pages Web ou même des images. Lorsqu'un Agents d'IA analyse ce contenu et voit les instructions cachées, il peut être amené à les exécuter comme s'il s'agissait de commandes légitimes de l'utilisateur. Les navigateurs Web IA ne peuvent pas faire la différence entre les instructions authentiques et fausses de l'utilisateur.

Les ingénieurs de Brave ont expérimenté avec Comet de Perplexity et testé sa réaction à l'injection de prompt. Il a été constaté que Comet traitait du texte invisible caché dans des captures d'écran. Cette approche permet aux attaquants de contrôler les outils de navigation et d'extraire facilement les données des utilisateurs.

Les ingénieurs de Brave ont qualifié ces vulnérabilités de "défi systémique auquel est confrontée toute la catégorie des navigateurs pilotés par l'IA."

L'injection de prompt est difficile à corriger

Les chercheurs en sécurité et les ingénieurs affirment que l'injection de prompt est difficile à corriger. C'est parce que les modèles d'intelligence artificielle ne comprennent pas d'où viennent les instructions. Ils ne peuvent pas différencier entre les prompts authentiques et faux.

Les logiciels traditionnels peuvent faire la différence entre une entrée sûre et un code malveillant, mais les grands modèles de langage (LLM) ont du mal avec cela. Les LLM traitent tout, y compris les demandes des utilisateurs, le texte des sites Web et même les données cachées, et les considèrent comme une grande conversation.

C'est pourquoi l'injection de prompt est dangereuse. Les pirates peuvent facilement cacher de fausses instructions dans du contenu qui semble sûr et voler des informations sensibles.

Les entreprises d'IA admettent que l'injection de prompt est une menace sérieuse

Perplexity a déclaré que de telles attaques ne reposent pas sur du code ou des mots de passe volés, mais manipulent plutôt le "processus de réflexion" de l'IA. L'entreprise a construit plusieurs couches de défense autour de Comet pour arrêter les attaques par injection de prompt. Elle utilise des modèles d'apprentissage automatique qui détectent les menaces en temps réel et a intégré des prompts de garde-fou qui maintiennent l'IA concentrée sur l'intention de l'utilisateur. De plus, le navigateur exige une confirmation obligatoire de l'utilisateur pour les actions sensibles comme l'envoi d'un e-mail ou l'achat d'un article.

Les chercheurs en sécurité estiment que les navigateurs pilotés par l'IA ne devraient pas être utilisés avec des comptes sensibles ou des données personnelles jusqu'à ce que des améliorations majeures soient déployées. Les utilisateurs peuvent toujours utiliser les navigateurs Web IA, mais sans accès aux outils, avec des actions automatisées désactivées, et devraient éviter de les utiliser lorsqu'ils sont connectés à des comptes bancaires, des e-mails ou des applications de santé.

Le Directeur de la sécurité de l'information (CISO) d'OpenAI, Dane Stuckey, a reconnu les dangers de l'injection de prompt et a écrit sur X : "Un risque émergent que nous étudions et atténuons très attentivement est celui des injections de prompt, où les attaquants cachent des instructions malveillantes dans des sites Web, des e-mails ou d'autres sources pour tenter de tromper l'agent afin qu'il se comporte de manière non intentionnelle."

Il a expliqué que l'objectif d'OpenAI est de faire en sorte que les gens "fassent confiance à l'agent ChatGPT pour utiliser votre navigateur, de la même manière que vous feriez confiance à votre collègue ou ami le plus compétent, digne de confiance et conscient de la sécurité." Stuckey a déclaré que l'équipe d'OpenAI "travaille dur pour y parvenir."

