Нові веб-браузери з підтримкою штучного інтелекту, такі як OpenAI ChatGPT Atlas і Perplexity Comet, активно намагаються стати альтернативою Google Chrome для мільярдів користувачів по всьому світу. Однією з головних переваг цих продуктів є впровадження AI-агентів для веб-серфінгу, які можуть виконувати завдання на сайтах і заповнювати форми замість користувача.
Про це розповідає ProIT
AI-браузери: наскільки вони безпечні?
Однак разом із такими інноваціями з’являються суттєві ризики для приватності користувачів, які поки залишаються маловідомими для більшості споживачів. Експерти з кібербезпеки наголошують, що AI-агенти у браузерах значно підвищують загрозу витоку особистих даних порівняно з традиційними браузерами. Для забезпечення повної функціональності такі браузери, як Comet і ChatGPT Atlas, запитують розширені дозволи, включаючи доступ до електронної пошти, календаря та списків контактів користувача. Хоча ці агенти можуть бути досить корисними для простих завдань, складні задачі вони часто виконують повільно або з труднощами, а рівень практичної користі поки що не виправдовує очікувань.
Загроза prompt injection та реакція індустрії
Однією з найбільш небезпечних вразливостей є так звані «prompt injection attacks» — атаки, коли зловмисники приховують шкідливі інструкції на веб-сторінках. Якщо AI-агент аналізує таку сторінку, його можна змусити виконати команди, передані атакуючим. Без належного захисту це може призвести до витоку даних, наприклад, електронної пошти чи облікових записів, а також до здійснення небажаних дій від імені користувача, включаючи покупки або публікації у соцмережах.
Подібні атаки стали поширеним явищем із розвитком AI-агентів, і наразі ефективного способу повністю їх уникнути не існує. Зі зростанням популярності ChatGPT Atlas та інших AI-агентів, масштаби таких ризиків лише збільшуються.
Дослідники компанії Brave, яка спеціалізується на захисті приватності в браузерах, нещодавно оприлюднили результати дослідження, в якому визначили непрямі prompt injection як «системну проблему для всіх AI-браузерів». Раніше це явище було виявлено у Perplexity Comet, але зараз фахівці вважають, що це глобальна проблема для всієї індустрії.
«Є величезна можливість полегшити життя користувачів, але браузер тепер діє від їхнього імені. Це принципово небезпечно і відкриває нову лінію у сфері безпеки браузерів», — зазначив Шіван Сахіб, старший інженер з досліджень і приватності Brave.
Керівник інформаційної безпеки OpenAI Дейн Стаки визнав складність запуску “agent mode” у ChatGPT Atlas, зазначивши, що prompt injection і надалі залишається відкритою проблемою. За його словами, противники витрачатимуть значні ресурси, щоб знайти способи обійти захист і змусити AI-агентів виконувати шкідливі інструкції.
Perplexity також акцентувала на серйозності проблеми prompt injection, підкресливши, що вона “вимагає переосмислення безпеки з нуля”. Атаки такого типу маніпулюють процесом прийняття рішень у AI, фактично використовуючи можливості агента проти самого користувача.
Відповідно, OpenAI і Perplexity впровадили низку механізмів захисту. OpenAI створила режим «logged out», у якому агент не має доступу до акаунтів користувача під час навігації мережею, що зменшує корисність, але й обмежує потенційний витік даних. У свою чергу, Perplexity розробила систему, яка здатна виявляти prompt injection у реальному часі. Проте, навіть ці заходи не гарантують абсолютної безпеки від атак.
Як користувачам захистити себе?
Серед порад експертів — використання унікальних паролів для акаунтів у AI-браузерах та обов’язкове підключення багатофакторної аутентифікації. Також рекомендується обмежити доступ раннім версіям ChatGPT Atlas і Comet до чутливих сервісів: банківських, медичних та особистих даних. Зі зростанням досвіду індустрії рівень захисту таких інструментів буде покращуватись, але наразі до них слід ставитися з обережністю.
Деякі фахівці відзначають, що prompt injection-атаки вже вдосконалюються: якщо раніше це були приховані інструкції у тексті сторінки, то тепер до таких атак залучають і зображення з прихованими даними для передачі шкідливих команд AI-агентам. Фахівці порівнюють цю ситуацію з грою у “кішку і мишу”: способи атак і захисту постійно змінюються та вдосконалюються.