ИИ-веб-браузеры открывают дверь к невидимым рискам безопасности

ИИ-браузеры, такие как Atlas от OpenAI и Comet от Perplexity, обещают удобство. Но они сопряжены с серьезными рисками кибербезопасности, формируя новую площадку для хакеров.

Веб-браузеры, управляемые ИИ, конкурируют с традиционными браузерами, такими как Google Chrome и Brave, стремясь привлечь миллиарды ежедневных интернет-пользователей.

Несколько дней назад OpenAI выпустила Atlas, в то время как Comet от Perplexity существует уже несколько месяцев. Браузеры, управляемые ИИ, могут печатать и переходить по страницам. Пользователи могут попросить их забронировать рейс, обобщить электронные письма или даже заполнить форму.

По сути, браузеры, управляемые ИИ, разработаны для выполнения функций цифровых помощников и автономной навигации в интернете. Их провозглашают следующим большим скачком в онлайн-продуктивности.

Исследователи безопасности указывают на недостатки ИИ-браузеров

Но большинство потребителей не осознают риски безопасности, связанные с использованием ИИ-браузеров. Такие браузеры уязвимы для сложных взломов через новое явление, называемое инъекцией промптов.

Хакеры могут эксплуатировать ИИ-веб-браузеры, получать доступ к сеансам пользователей и выполнять несанкционированные действия. Например, хакеры могут получить доступ к электронной почте, аккаунтам в социальных сетях или даже просматривать банковские данные и переводить средства.

Согласно недавнему исследованию Brave, хакеры могут встраивать скрытые инструкции внутри веб-страниц или даже изображений. Когда ИИ-агент анализирует этот контент и видит скрытые инструкции, его можно обмануть, заставив выполнять их, как если бы они были законными командами пользователя. ИИ-веб-браузеры не могут отличить подлинные инструкции от поддельных.

Инженеры Brave экспериментировали с Comet от Perplexity и тестировали его реакцию на инъекцию промптов. Было обнаружено, что Comet обрабатывает невидимый текст, скрытый в скриншотах. Этот подход позволяет злоумышленникам легко контролировать инструменты просмотра и извлекать пользовательские данные.

Инженеры Brave назвали эти уязвимости "системной проблемой, с которой сталкивается вся категория браузеров, управляемых ИИ".

Инъекцию промптов трудно исправить

Исследователи безопасности и инженеры говорят, что инъекцию промптов трудно исправить. Это потому, что модели искусственного интеллекта не понимают, откуда поступают инструкции. Они не могут различать подлинные и поддельные промпты.

Традиционное программное обеспечение может отличить безопасный ввод от вредоносного кода, но большие языковые модели (LLM) с этим справляются плохо. LLM обрабатывают всё, включая запросы пользователей, текст веб-сайтов и даже скрытые данные, и рассматривают это как один большой разговор.

Вот почему инъекция промптов опасна. Хакеры могут легко скрыть поддельные инструкции внутри контента, который выглядит безопасным, и украсть конфиденциальную информацию.

Компании, разрабатывающие ИИ, признают, что инъекция промптов представляет серьезную угрозу

Perplexity заявила, что такие атаки не полагаются на код или украденные пароли, а вместо этого манипулируют "процессом мышления" ИИ. Компания создала несколько уровней защиты вокруг Comet для предотвращения атак с инъекцией промптов. Она использует модели машинного обучения, которые обнаруживают угрозы в реальном времени, и интегрировала защитные промпты, которые удерживают ИИ сосредоточенным на намерениях пользователя. Более того, браузер требует обязательного подтверждения пользователя для чувствительных действий, таких как отправка электронного письма или покупка товара.

Исследователи безопасности считают, что браузерам, управляемым ИИ, не следует доверять конфиденциальные аккаунты или личные данные до тех пор, пока не будут внедрены значительные улучшения. Пользователи все еще могут использовать ИИ-веб-браузеры, но без доступа к инструментам, с отключенными автоматизированными действиями, и должны избегать их использования при входе в банковские аккаунты, электронную почту или приложения здравоохранения.

Руководитель отдела по соблюдению нормативных требований (CCO) OpenAI, Дейн Стаки, признал опасность инъекции промптов и написал на X: "Один из возникающих рисков, который мы очень тщательно исследуем и смягчаем, — это инъекции промптов, где злоумышленники скрывают вредоносные инструкции на веб-сайтах, в электронных письмах или других источниках, чтобы попытаться обмануть агента и заставить его вести себя непредусмотренным образом".

Он объяснил, что цель OpenAI — заставить людей "доверять агенту ChatGPT использовать ваш браузер так же, как вы бы доверяли своему самому компетентному, надежному и осведомленному о безопасности коллеге или другу". Стаки сказал, что команда OpenAI "усердно работает над достижением этой цели".

Совершенствуйте свою стратегию с помощью наставничества + ежедневных идей - 30 дней бесплатного доступа к нашей торговой программе