Исследование, посвящённое браузерам с агентным ИИ, показало, что новые инструменты уязвимы как для новых, так и для старых схем атак. Так, ИИ-браузер Comet от Perplexity оказался уязвим для фишинга, внедрения вредоносных подсказок и покупок в поддельных магазинах.
Браузеры с агентным ИИ могут автономно просматривать веб-страницы, совершать покупки и выполнять различные онлайн-задачи (например, обрабатывать электронную почту, бронировать билеты, заполнять формы).
В настоящее время основным примером таких браузеров выступает именно Comet. Microsoft Edge также внедряет подобные функции через интеграцию с Copilot, а OpenAI разрабатывает собственную платформу под кодовым названием «Aura».
Хотя эти инструменты в настоящее время ориентированы на технологических энтузиастов и первых пользователей, Comet быстро проникает на массовый потребительский рынок.
Согласно недавнему исследованию разработчика браузерных расширений для защиты от онлайн-угроз Guardio, Comet был выпущен с недостаточными мерами безопасности.
В одном из тестов он попросил Comet купить часы Apple Watch, находясь на поддельном сайте Walmart, созданном исследователями с помощью сервиса Lovable. Модель сканировала сайт, не проверяя его легитимность, переходила к оформлению заказа и автоматически заполняла данные кредитной карты и адреса, завершая покупку без запроса подтверждения со стороны пользователя.
Во втором тесте Guardio создал поддельное письмо Wells Fargo, отправленное с адреса ProtonMail, со ссылкой на реальную, активную фишинговую страницу. Comet воспринял входящее сообщение как подлинную инструкцию от банка, нажал на фишинговую ссылку, загрузил фишинговую страницу входа в Wells Fargo и предложил пользователю ввести учётные данные.
Наконец, Guardio протестировал сценарий внедрения вредоносной подсказки с использованием поддельной страницы CAPTCHA, скрывающей инструкции для агента ИИ, встроенного в исходный код браузера. Comet интерпретировал скрытые инструкции как допустимые команды и нажал кнопку «CAPTCHA», запуская загрузку вредоносного файла.
Guardio подчёркивает, что тесты лишь поверхностно отражают сложности безопасности, возникающие в связи с появлением браузеров с ИИ-агентами. Ожидается, что новые угрозы заменят стандартные модели атак, ориентированные на человека.
«В эпоху противостояния ИИ мошенникам не нужно обманывать миллионы разных людей; им достаточно взломать одну модель ИИ. После успеха один и тот же эксплойт можно масштабировать бесконечно. А поскольку у них есть доступ к тем же моделям, они могут “тренировать” свою вредоносную версию против ИИ жертвы, пока мошенничество не сработает безупречно», — говорит Guardio.
Пока же исследователь рекомендует не поручать таким браузерам конфиденциальные задачи, в том числе банковские операции, покупки или доступ к учётным записям электронной почты. Кроме того, пользователям следует избегать предоставления агентам ИИ учётных данных, финансовых данных или личной информации, а вместо этого вводить информацию вручную.
Perplexity представила ИИ-браузер Comet в июле. Он объединяет возможности фирменного поисковика и умного ассистента. На старте он доступен только подписчикам Perplexity Max и приглашённым пользователям из списка ожидания.
Позднее компания представила инструмент Comet Shortcuts, который позволяет автоматизировать повторяющиеся веб-задачи с помощью простых команд на естественном языке.
В августе стартап предложил Google $34,5 млрд за браузер Chrome. В случае успеха сделки компания обещает вложить в развитие браузера $3 млрд за два года, оставить исходный код Chromium открытым и не менять Google как поиск по умолчанию.
Источник: habr.com