Navegadores web de IA abrem a porta a riscos de segurança invisíveis

Navegadores de IA como Atlas da OpenAI e Comet da Perplexity prometem conveniência. Mas vêm com grandes riscos de cibersegurança, formando um novo campo de atuação para hackers.

Navegadores web impulsionados por IA competem com navegadores tradicionais como Google Chrome e Brave, visando atrair bilhões de usuários diários da internet.

Há alguns dias, a OpenAI lançou o Atlas, enquanto o Comet da Perplexity já existe há meses. Navegadores impulsionados por IA podem digitar e clicar através das páginas. Os usuários podem pedir para reservar um voo, resumir e-mails ou até preencher um formulário.

Basicamente, os navegadores impulsionados por IA são projetados para atuar como assistentes digitais e navegar na web de forma autônoma. Eles estão sendo aclamados como o próximo grande salto na produtividade online.

Pesquisadores de segurança apontam falhas em navegadores de IA

Mas a maioria dos consumidores desconhece os riscos de segurança que vêm com o uso de navegadores de IA. Esses navegadores são vulneráveis a ataques sofisticados através de um novo fenômeno chamado injeção de prompt.

Hackers podem explorar navegadores web de IA, obter acesso às sessões logadas dos usuários e realizar ações não autorizadas. Por exemplo, hackers podem acessar e-mails, contas de redes sociais ou até visualizar detalhes bancários e movimentar fundos.

De acordo com pesquisas recentes da Brave, hackers podem incorporar instruções ocultas dentro de páginas web ou até mesmo imagens. Quando um Agente de IA analisa esse conteúdo e vê as instruções ocultas, pode ser enganado para executá-las como se fossem comandos legítimos do usuário. Navegadores web de IA não conseguem distinguir entre instruções genuínas e falsas do usuário.

Engenheiros da Brave experimentaram com o Comet da Perplexity e testaram sua reação à injeção de prompt. Descobriu-se que o Comet processa texto invisível escondido em capturas de tela. Esta abordagem permite que atacantes controlem ferramentas de navegação e extraiam dados do usuário com facilidade.

Os engenheiros da Brave chamaram essas vulnerabilidades de "um desafio sistêmico enfrentado por toda a categoria de navegadores impulsionados por IA."

Injeção de prompt é difícil de corrigir

Pesquisadores de segurança e engenheiros dizem que a injeção de prompt é difícil de corrigir. Isso porque os modelos de inteligência artificial não entendem de onde vêm as instruções. Eles não conseguem diferenciar entre prompts genuínos e falsos.

Software tradicional pode distinguir entre entrada segura e código malicioso, mas os modelos de linguagem grandes (LLMs) têm dificuldade com isso. Os LLMs processam tudo, incluindo solicitações de usuários, texto de sites e até dados ocultos, e tratam como uma grande conversa.

É por isso que a injeção de prompt é perigosa. Hackers podem facilmente esconder instruções falsas dentro de conteúdo que parece seguro e roubar informações sensíveis.

Empresas de IA admitem que injeção de prompt é uma ameaça séria

A Perplexity afirmou que tais ataques não dependem de código ou senhas roubadas, mas em vez disso manipulam o "processo de pensamento" da IA. A empresa construiu múltiplas camadas de defesa em torno do Comet para impedir ataques de injeção de prompt. Utiliza modelos de aprendizado de máquina que detectam ameaças em tempo real e integrou prompts de proteção que mantêm a IA focada na intenção do usuário. Além disso, o navegador requer confirmação obrigatória do usuário para ações sensíveis como enviar um e-mail ou comprar um item.

Pesquisadores de segurança acreditam que navegadores impulsionados por IA não devem ser confiáveis com contas sensíveis ou dados pessoais até que melhorias importantes sejam implementadas. Os usuários ainda podem utilizar navegadores web de IA, mas sem acesso a ferramentas, com ações automatizadas desativadas, e devem evitar usá-los quando logados em contas bancárias, e-mails ou aplicativos de saúde.

O Diretor de Segurança da Informação (CISO) da OpenAI, Dane Stuckey, reconheceu os perigos da injeção de prompt e escreveu no X: "Um risco emergente que estamos pesquisando e mitigando muito cuidadosamente são as injeções de prompt, onde atacantes escondem instruções maliciosas em sites, e-mails ou outras fontes para tentar enganar o agente a se comportar de maneiras não intencionais."

Ele explicou que o objetivo da OpenAI é fazer com que as pessoas "confiem no agente ChatGPT para usar seu navegador, da mesma forma que você confiaria em seu colega ou amigo mais competente, confiável e consciente de segurança." Stuckey disse que a equipe da OpenAI está "trabalhando duro para alcançar isso."

Aprimore sua estratégia com mentoria + ideias diárias - 30 dias de acesso gratuito ao nosso programa de negociação