Как хакеры ломают ИИ-браузеры и почему антивирус вас не спасет

Александр Гайдамашко

Основные тезисы

ИИ-браузеры, такие как ChatGPT Atlas или Comet, имеют уязвимости, связанные с инъекциями подсказок, агентским поведением и накоплением персональных данных.
Злоумышленники могут использовать скрытые инструкции в HTML-коде, атрибуте "alt" изображений и URL-запросах для атаки на ИИ-браузеры, что делает антивирусы неэффективными против таких угроз.

Безопасность ИИ-браузеров - почему антивирус не защищает от инъекций подсказок и кражи данных

Опасность ИИ-браузеров: что происходит с безопасностью пользователей / Коллаж 24 Канала/Freepik

Браузеры со встроенным искусственным интеллектом быстро становятся популярными благодаря автоматизации поиска, анализа страниц и выполнению действий вместо пользователя. В то же время это удобство создает новый класс угроз, которые подрывают привычные представления об онлайн-безопасности и делают традиционную защиту почти бессильной.

Почему ИИ-браузеры ломают привычную модель безопасности?

ИИ-браузеры вроде ChatGPT Atlas или Comet от Perplexity работают иначе, чем классические браузеры. Они не просто отображают страницы, а активно читают контент, анализируют его, делают выводы и выполняют действия от имени пользователя. Именно здесь и возникает фундаментальная проблема безопасности, пишет 24 Канал.

Первая угроза – это инъекции подсказок. Большая языковая модель не способна надежно отличить команды пользователя от текста, который она видит на веб-странице. Если злоумышленник скроет инструкцию внутри контента (например, белый текст на белом фоне), ИИ может воспринять ее как легитимный приказ и начать выполнять. В реальных тестах исследователи зафиксировали случай, когда браузер легко раскрыл адрес электронной почты и одноразовый пароль пользователя, просто анализируя страницу со скрытым вредоносным текстом.

Вторая проблема – агентское поведение. В отличие от обычного браузера, где вкладки изолированы друг от друга, ИИ-браузер может переносить контекст между вкладками. Если одна страница скомпрометирует языковую модель, она получит доступ ко всем открытым сессиям. Один успешный взлом превращается в цепную атаку, охватывающую почту, социальные сети, банкинг и рабочие сервисы.
Третий фактор риска – накопление персональных данных. Для удобства ИИ-браузеры сохраняют информацию о пользователе, его привычки, паттерны действий, предыдущие диалоги и прочее. Хотя это упрощает взаимодействие в обычных условиях, в случае компрометации эти данные могут быть полностью раскрыты постороннему человеку.

Как именно злоумышленники атакуют ИИ-браузеры?

Самая распространенная техника – скрытие инструкций в невидимом для человека виде. Текст может быть спрятан через HTML-стили, микроскопический размер шрифта или полную прозрачность. Человек ничего не заметит, но ИИ, анализируя код страницы, прочитает каждую строчку.

Еще один эффективный метод – использование альтернативного текста изображений. Атрибут "alt" предназначен для ботов и систем доступности, но для ИИ-браузера это полноценный текстовый контент. Именно там могут скрываться команды, изменяющие поведение модели.

Ситуацию усложняют PDF-файлы и изображения. Текст, замаскированный в цветах фона, не считывается из-за оптического распознавания символов. Если пользователь просит ИИ проанализировать такой файл, скрытые инструкции могут быть выполнены без всяких предупреждений.
Отдельную угрозу представляют ссылки. В некоторых ИИ-браузерах инструкции могут передаваться прямо в URL-запросе. Внешне это выглядит как обычная ссылка на известный сервис, но внутри заложена команда, которая сразу выполняется после открытия. Исследователи уже дали этой технике отдельное название – CometJacking.

Почему антивирусы здесь бессильны?

Антивирусные программы ищут вредоносный код, подозрительные файлы или нетипичную активность системы. Атаки на ИИ-браузеры не требуют вирусов или эксплойтов. Они работают в виде обычного текста на уровне логики и доверия, напоминая классическую социальную инженерию, но направленную не на человека, а на модель искусственного интеллекта.

С точки зрения системы все выглядит легитимно: пользователь сам позволил ИИ читать страницы, анализировать файлы и выполнять действия. Антивирус не способен определить момент, когда ИИ ошибается в интерпретации контекста и начинает действовать против интересов пользователя.

Как минимизировать риски при использовании ИИ-браузеров?

Сегодня ИИ-браузеры следует воспринимать как экспериментальные инструменты. Их не следует использовать для работы с финансами, личными аккаунтами или конфиденциальной информацией.

Самый безопасный подход – запускать их без входа в учетные записи и не хранить персональные данные в памяти браузера.

Также критически важно не оставлять агентские процессы без присмотра. Пользователь должен видеть, какие страницы посещает ИИ и какие действия выполняет. При малейших подозрениях активность следует немедленно останавливать.