Специалисты Guardio протестировали браузер с ИИ-агентом и пришли к выводу, что он уязвим как перед старыми, так и перед новыми схемами атак, которые могут заставить его взаимодействовать с вредоносными страницами и промптами.
ИИ-агенты в браузерах способны автономно серфить в интернете, делать покупки и управлять различными онлайн-задачами (например, обрабатывать почту, бронировать билеты, заполнять формы и так далее).
В настоящее время основным примером браузера со встроенным ИИ-агентом является Comet, созданный разработчиками Perplexity, и именно на нем сфокусировано исследование Guardio. Однако стоит отметить, что в Microsoft Edge также есть функции агентского ИИ (посредством интеграции с Copilot), а OpenAI сейчас разрабатывает собственную платформу для этих задач под кодовым названием Aura.
Хотя пока такие инструменты в основном ориентированы на энтузиастов, Comet быстро проникает на массовый потребительский рынок. И исследователи из Guardio предупреждают, что подобные решения недостаточно защищены от известных и новых атак, специально разработанных против них.
Как показали тесты, браузеры с ИИ-агентами могут быть уязвимы перед фишингом, инъекциями промптов и совершать покупки в фальшивых магазинах.
К примеру, в одном из тестов аналитики попросили Comet купить Apple Watch на поддельном сайте Walmart, который исследователи сами создали с помощью сервиса Lovable. Хотя в эксперименте Comet напрямую направили в фейковый магазин, отмечается, что в реальной жизни ИИ-агент может попасть в такую же ситуацию из-за вредоносной рекламы, «черного» SEO и других причин.
В результате ИИ просканировал поддельный сайт, а затем, не проверив его легитимность, перешел к оформлению заказа и автоматически ввел данные банковской карты и адрес, завершив покупку и не спросив подтверждение у пользователя.
В рамках второго теста специалисты создали поддельное письмо от банка Wells Fargo, внедрили в него ссылку на реальную фишинговую страницу и отправили с адреса на ProtonMail. Comet расценил входящее сообщение как подлинное сообщение от банка, перешел по фишинговой ссылке, загрузил фальшивую страницу логина Wells Fargo и предложил пользователю ввести на ней свои учетные данные.
В третьем тесте, направленном на проверку устойчивости перед инъекциями промптов, исследователи создали поддельную CAPTCHA-страницу и использовали классическую ClickFix-атаку, однако дополнили ее скрытыми инструкциями для ИИ-агента, встроенными в код страницы. В итоге Comet интерпретировал эти скрытые инструкции как легитимные команды и кликнул на кнопку CAPTCHA, тем самым запустив загрузку вредоносного файла.
В Guardio подчеркивают, что эти тесты — лишь верхушка айсберга проблем, которые вызывает появление агентских ИИ-браузеров. При этом в будущем такие угрозы могут вытеснить обычные модели атак, ориентированные на людей.
«В эпоху ИИ vs ИИ мошенникам не нужно обманывать миллионы разных людей, достаточно сломать одну ИИ-модель, — пишут эксперты. — Как только у них получится, этот эксплоит можно будет масштабировать бесконечно. Поскольку у злоумышленников есть доступ к тем же самым моделям, они могут "тренировать" свой вредоносный ИИ против ИИ жертвы, пока мошенническая схема не заработает безупречно».
Специалисты заключают, что пока агентские ИИ в браузерах — слишком «сырой» продукт, и им не рекомендуется поручать важные задачи вроде банкинга, шопинга или доступа к почтовым аккаунтам. Также пользователям советуют избегать передачи ИИ-агентам учетных данных, финансовых деталей и личной информации — надежнее вводить эти данные вручную.