Як хакери ламають ШІ-браузери й чому антивірус вас не врятує

Чому ШІ-браузери ламають звичну модель безпеки?

ШІ-браузери на кшталт ChatGPT Atlas або Comet від Perplexity працюють інакше, ніж класичні браузери. Вони не просто відображають сторінки, а активно читають контент, аналізують його, роблять висновки та виконують дії від імені користувача. Саме тут і виникає фундаментальна проблема безпеки, пише 24 Канал.

• Перша загроза – це ін’єкції підказок. Велика мовна модель не здатна надійно відрізнити команди користувача від тексту, який вона бачить на вебсторінці. Якщо зловмисник приховає інструкцію всередині контенту (наприклад, білий текст на білому фоні), ШІ може сприйняти її як легітимний наказ і почати виконувати. У реальних тестах дослідники зафіксували випадок, коли браузер легко розкрив адресу електронної пошти та одноразовий пароль користувача, просто аналізуючи сторінку з прихованим шкідливим текстом.
• Друга проблема – агентна поведінка. На відміну від звичайного браузера, де вкладки ізольовані одна від одної, ШІ-браузер може переносити контекст між вкладками. Якщо одна сторінка скомпрометує мовну модель, вона отримає доступ до всіх відкритих сесій. Один успішний злам перетворюється на ланцюгову атаку, що охоплює пошту, соціальні мережі, банкінг і робочі сервіси.
• Третій фактор ризику – накопичення персональних даних. Для зручності ШІ-браузери зберігають інформацію про користувача, його звички, патерни дій, попередні діалоги та інше. Хоча це спрощує взаємодію в звичайних умовах, у разі компрометації ці дані можуть бути повністю розкриті сторонній людині.

Як саме зловмисники атакують ШІ-браузери?

• Найпоширеніша техніка – приховування інструкцій у невидимому для людини вигляді. Текст може бути захований через HTML-стилі, мікроскопічний розмір шрифту або повну прозорість. Людина нічого не помітить, але ШІ, аналізуючи код сторінки, прочитає кожен рядок.
• Ще один ефективний метод – використання альтернативного тексту зображень. Атрибут "alt" призначений для ботів і систем доступності, але для ШІ-браузера це повноцінний текстовий контент. Саме там можуть ховатися команди, що змінюють поведінку моделі.
• Ситуацію ускладнюють PDF-файли та зображення. Текст, замаскований у кольорах фону, не зчитується через оптичне розпізнавання символів. Якщо користувач просить ШІ проаналізувати такий файл, приховані інструкції можуть бути виконані без жодних попереджень.
• Окрему загрозу становлять посилання. У деяких ШІ-браузерах інструкції можуть передаватися прямо в URL-запиті. Зовні це виглядає як звичайне посилання на відомий сервіс, але всередині закладено команду, яка одразу виконується після відкриття. Дослідники вже дали цій техніці окрему назву – CometJacking.

Чому антивіруси тут безсилі?

Антивірусні програми шукають шкідливий код, підозрілі файли або нетипову активність системи. Атаки на ШІ-браузери не потребують вірусів чи експлойтів. Вони працюють у вигляді звичайного тексту на рівні логіки та довіри, нагадуючи класичну соціальну інженерію, але спрямовану не на людину, а на модель штучного інтелекту.

З погляду системи все виглядає легітимно: користувач сам дозволив ШІ читати сторінки, аналізувати файли та виконувати дії. Антивірус не здатен визначити момент, коли ШІ помиляється в інтерпретації контексту та починає діяти проти інтересів користувача.

Як мінімізувати ризики під час використання ШІ-браузерів?

Сьогодні ШІ-браузери варто сприймати як експериментальні інструменти. Їх не слід використовувати для роботи з фінансами, особистими акаунтами або конфіденційною інформацією.

Найбезпечніший підхід – запускати їх без входу в облікові записи та не зберігати персональні дані в пам’яті браузера.

Також критично важливо не залишати агентні процеси без нагляду. Користувач має бачити, які сторінки відвідує ШІ та які дії виконує. За найменших підозр активність слід негайно зупиняти.