Безбедносни ризици у прегледачима са вештачком интелигенцијом

Информатек Дигитал » Средства » Безбедносни ризици у прегледачима са вештачком интелигенцијом

Талас прегледачи са уграђеним AI агентом Стигли су: OpenAI-јев Atlas, Perplexity-јев Comet, Brave са Leo-ом, Chrome са Gemini-јем, Edge са Copilot-ом, Firefox који укључује паметне функције… и још много тога тек долази. Ова нова генерација софтвера обећава да ћемо престати само да „претражујемо“ и почети да говоримо машини шта желимо да ради: да чита уместо нас, попуњава обрасце, управља куповинама или чак аутоматизује сложене задатке на вебу.

Међутим, ова удобност има и мрачну страну: Сам прегледач постаје аутономни агент са вашим дозволама.Ваше отворене сесије, ваше датотеке и, у многим случајевима, ваши лични или корпоративни подаци су угрожени. Ако нешто крене наопако – било да је у питању дизајн, безбедносна грешка или добро испланирани напад – утицај може бити далеко већи него код традиционалног прегледача или једноставног четбота у облаку.

Шта је прегледач са вештачком интелигенцијом и зашто мења правила игре?

Претраживач са вештачком интелигенцијом је, у суштини, „нормалан“ прегледач са дубоко интегрисаним језичким моделом Ова особа види странице које посећујете, разуме њихов садржај и овлашћена је да обавља радње као да је корисник. Они не само да скенирају веб локацију: могу да кликну на дугмад, попуњавају обрасце, преузимају датотеке, управљају картицама или комуницирају са услугама где сте већ пријављени.

Ово прави значајну разлику у поређењу са коришћењем класичног четбота у другој картици, где копирате и лепите садржај: сада је агент „унутар“ прегледача, са директним приступом вашем контексту прегледања, вашим отвореним сесијама и, потенцијално, вашим локалним датотекама или другим системским ресурсима.

Ова архитектура је посебно атрактивна за велике технолошке компаније. Компанија Perplexity је лансирала свој прегледач Comet, па чак и размишљала о куповини Chrome-а.У међувремену, Google и Microsoft убризгавају своје моделе Gemini и Copilot директно у Chrome и Edge. OpenAI је, са своје стране, представио ChatGPT Atlas као сопствени прегледач базиран на Chromium-у, са слојем вештачке интелигенције који ради у одвојеним процесима како би се смањили ризици.

Мотивација пословања је јасна: Милиони корисника, стална употреба и тоне податакаОвакав прегледач генерише огромну лојалност корисника (Промена прегледача је мука и зато је уобичајена користите више прегледача) и, поред тога, нуди телеметрију о целокупном веб саобраћају и о томе како корисници интерагују са мрежом, што је изузетно вредно за моделе обуке, тестирање нових функција и смањење трошкова инфраструктуре премештањем дела посла на сопствене уређаје корисника.

OpenAI Atlas: Кључне карактеристике и почетне безбедносне границе

21. октобра 2025. године, OpenAI је објавио прву јавну верзију ChatGPT Atlas за macOSЊегов прегледач покретан вештачком интелигенцијом, за који компанија каже да ће се проширити на Windows, Android и iOS, има за циљ да прегледање учини „као“ ChatGPT: корисници престају да копирају и лепе текст који модел обрађује и уместо тога директно захтевају задатке на страници коју прегледају.

Да би смањио ризике, OpenAI је имплементирао неколико техничка ограничења дизајнирана посебно за агента прегледачаАтлас је базиран на Хромијуму, али вештачка интелигенција ради у одвојеним процесима, капсулираним у оно што називају OpenAI веб слојем (OWL). Према почетној документацији, агент:

• Не можете покренути код или инсталирати екстензије. сами
• Недостаје му капацитет да преузимајте датотеке самостално или приступајте другим локалним апликацијама.
• Он нити види нити користи сачуване лозинке нити аутоматско довршавање података прегледач.
• Не можете приступити Информације о уређају ван његовог домета навигација.

Што се тиче приватности, OpenAI обећава приступ „приватности по подразумеваним подешавањима“: Интеракције са Атласом се не користе за тренирање модела Осим ако корисник то експлицитно не овласти. Штавише, меморија прегледача — његова способност да памти странице и контексте — је подразумевано онемогућена и мора се ручно омогућити.

Корисник такође може обришите историју и сећања и дефинисати са којим веб локацијама ChatGPT може да комуницира, или чак потпуно блокирати вештачку интелигенцију једним кликом. На критичним локацијама као што су банке или осетљиве услуге, Атлас захтева ручну потврду пре него што агент предузме било какву акцију., са циљем спречавања нежељених трансакција или аутоматских финансијских кретања.

Ове мере заштите су корак у правом смеру, али не елиминишу основни проблем: Претраживач са вештачком интелигенцијом има много више снаге од класичног претраживача.И једна рањивост, погрешна конфигурација или дизајнерска одлука је довољна да је претвори у веома профитабилан вектор напада.

Специфични безбедносни ризици прегледача са вештачком интелигенцијом

Интеграција вештачке интелигенције ствара потпуно нову површину за напад. Не говоримо само о класичним грешкама у прегледачу, већ и грешке у интеракцији између језичког модела, веб садржаја и аутоматизованих радњиОво су најзначајнији ризици који су до сада идентификовани.

Брза инјекција и скривена упутства

ла лламада брза ињекција (Убризгавање инструкција) се састоји од скривања злонамерних инструкција унутар саме веб странице, у наизглед безопасним фрагментима текста, у скривеном HTML-у, у коментарима на форумима, у ознакама за маркдаун, па чак и у сликама које се затим обрађују путем OCR-а.

Када корисник затражи од агента да сумира, анализира или интерагује са том страницом, модел може да интерпретира те инструкције као легитимне команде корисника и извршавају их са свим привилегијама њихове сесије: навигација до нових URL-ова, притискање дугмади, копирање приватних података, попуњавање образаца или објављивање осетљивих информација.

Практичан пример је документовао Brave with Perplexity Comet: Корисник отвара тему на Редиту која у тексту типа „спојлер“ крије скуп злонамерних команди.Када кликнете на дугме „настави страницу“ са омогућеним агентом, прегледач:

• Приступите подешавањима Perplexity налога и добијте имејл адресу корисника.
• Симулирајте пријаву за генеришите OTP код Верификација
• Отворите Gmail (ако сте већ пријављени), пронађите поруку са кодом и прочитајте је.
• Објавите у самој теми на Reddit-у имејл корисника и једнократна лозинка (OTP), остављајући га у видокругу нападача.

Све се ово дешава искључиво путем текста, без потребе за злонамерним скриптама или експлоатима ниског нивоаИ то једним кликом корисника. Садржај странице је тај који „програмира“ агента да злоупотреби своја дозвола.

Убризгавање у међуспремник и оптичко препознавање знакова (OCR)

Још један вектор који почиње да добија на значају јесте манипулација међуспремникомТрадиционални злонамерни софтвер већ користи ово да би променио адресе криптовалута или пресрео акредитиве; у контексту прегледача са вештачком интелигенцијом, агент би могао да прочита шта копирате и да реагује у складу са тим, или чак да залепи измењени садржај назад, а да ви то не приметите.

Још софистициранија је употреба скривене инструкције у сликама обрађеним OCR-омПретраживач може да чита текст уграђен у графику или снимке екрана, а ако нападач сакрије команде у пикселима које људско око не примећује, али не и систем за препознавање, агент би их могао извршити као да су легитимни део странице.

У оба случаја, проблем је исти: Модел не прави робусну разлику између „дескриптивног“ садржаја и „инструктивног“ садржаја.и тежи да се повинује свему што звучи као наређење, посебно ако је убедљиво форматирано.

Изложеност и злоупотреба личних и осетљивих података

Претраживачи са вештачком интелигенцијом обично укључују функције за Паметно аутоматско попуњавање или управљање формуларима које превазилази класично аутоматско попуњавање. Ако злонамерна страница имитира легитиман формулар (на пример, из банке, друштвене мреже или SaaS провајдера) и агент сматра да би то требало да вам „уштеди посао“, може да унесе податке као што су ваше пуно име, адреса, број телефона или чак интерни идентификатори компаније без захтева за експлицитну верификацију.

Ако, поред тога, прегледач има дозволу за преглед све отворене или недавно отворене картицеРизик се множи: нападач би могао истовремено да користи информације из ваше е-поште, календара, контаката, корпоративног CRM-а или система за управљање пројектима да би завршио задатак, чиме би проширио обим кршења података. Иако ово може бити корисно за легитимне сврхе, у рукама нападача постаје златни рудник осетљивих података.

У пословном окружењу проблем се погоршава. Екстензије прегледача засноване на вештачкој интелигенцији, интегрисане у ток рада, често захтевају веома широке дозволе.Ово им омогућава да читају и мењају садржај свих веб локација, приступају колачићима и сесијама, интерагују са API-јима итд. Ова комбинација је савршена за крађу интелектуалне својине, финансијских извештаја, дизајна у току, изворног кода или поверљивих разговора.

Упорне сесије и отмица налога

Модерни прегледач остаје отворен бројне аутентификоване сесијеЕ-пошта, складиште у облаку, друштвене мреже, онлајн банкарство, алати за рад, административни панели… Ако агент има могућност интеракције са свим овим сервисима и, поред тога, сесија не истиче или се поново користи неограничено, нападач може да искористи сваку успешну ињекцију да извршити ланчане акције без потребе за поновним ангажовањем корисника.

Ово отвара врата за отмица сесије и напади бочног кретањаКада агент буде преварен, може да преузима или брише датотеке, мења подешавања, додаје SSH кључеве у спремишта, мења записе у CRM-у или одобрава поруџбенице, све из контекста различитих сервиса на које се корисник већ пријавио.

Фишинг, дезинформације и недостатак транспарентности у деловању

Претраживачи са вештачком интелигенцијом су такође посебно рањиви на „Невидљиве“ фишинг кампањеСам агент може се користити за посећивање лажних страница, попуњавање образаца за аутентификацију или потврђивање трансакција, а да корисник никада не види прави интерфејс, већ само „пријатељски“ резиме који генерише модел.

Штавише, системи који трансформишу садржај пре него што га прикажу кориснику компликују откривање лажних сајтова: Вештачка интелигенција може ублажити упозоравајуће сигнале, преуредити елементе, па чак и генерисати вероватна објашњења. што отежава разликовање легитимне веб странице од копије дизајниране за крађу акредитива.

Још један мање опипљив, али подједнако озбиљан ризик јесте подложност дезинформацијама и манипулисаном садржајуЛоше конфигурисан модел, или онај обучен са пристрасним подацима, може дати приоритет искривљеним изворима, игнорисати упозорења или генерисати одговоре који поткрепљују лажне наративе. Ако се прегледач интензивно користи за прикупљање информација, утицај на перцепцију стварности или критичне одлуке (нпр. инвестиције, здравље, политика) може бити значајан.

У свим овим случајевима постоји заједнички проблем: непрозирност радњи које агент извршаваМноге интеракције се дешавају „испод хаубе“, без да корисник види тачно које су картице отворене, који подаци су копирани или која су дугмад притиснута. Због тога је тешко извршити ревизију, доделити правну одговорност (да ли је то био корисник или вештачка интелигенција?) и рано откривати аномалијско понашање.

Омнибокс, прикривене команде и експлоати без клика

Омнибокс, или јединствена адресна и претражна трака, карактеристика модерних прегледача, додаје свој слој опасности. У сценарију заснованом на вештачкој интелигенцији, Злонамерна команда може се прикрити као невина УРЛ адреса или претрага.Ако модел анализира оно што куцате и покуша да вам „помогне“ директним извршавањем радњи, може завршити тако што ће вас одвести на сајтове које контролишу нападачи или извршити нежељене секвенце задатака.

Паралелно, експлозија рањивости типа нулти клик У екосистемима вештачке интелигенције, показано је да понекад директна интеракција није ни неопходна: само примање имејла, позивнице из календара или поруке на платформи интегрисаној са агентом је довољно да покрене злонамерну логику. Примери попут EchoLeak-а у Microsoft 365 Copilot-у показују како, искоришћавањем Аутоматско отпремање слика, интерпретације ознака и интерни проксијиНападач може повећати привилегије и украсти податке без икакве радње корисника.

Ове врсте напада нису ограничене само на велике канцеларијске пакете: било који прегледач са вештачком интелигенцијом агента који је доступан веб пошти, размени порука или администраторским панелима Могао би постати жртва ако модел аутоматски интерагује са примљеним садржајем.

Екстензије засноване на вештачкој интелигенцији, ланац снабдевања и сенчена вештачка интелигенција

Поред „званичних“ прегледача са интегрисаном вештачком интелигенцијом, постоји ширење проширења прегледача вођена језичким моделом који обећавају тренутну продуктивност: помоћници за писање, детектори расположења, напредно аутоматско довршавање, резимеи састанака итд. Ова проширења често захтевају веома наметљиве дозволе и, у многим случајевима, шаљу податке непрозирним спољним сервисима.

Ова ситуација ствара експлозивни коктел рањивости ланца снабдевањаБиблиотеке трећих страна, неревидирани API-ји, сервери за закључивање који се налазе у другим земљама, неконтролисана аутоматска ажурирања… Злонамерни актер може купити првобитно легитимно проширење и тихо га ажурирати како би прикупљао осетљиве податке или инсталирао злонамерни софтвер у корпоративним окружењима.

Свему овоме доприноси и Схадов АИТо значи коришћење ових алата без одобрења или видљивости ИТ одељења. Запослени са добрим намерама који инсталирају вештачку интелигенцију како би брже радили могу несвесно извозити информације заштићене GDPR-ом, HIPAA-ом или PCI DSS-ом трећим странама које не испуњавају потребне законске или безбедносне стандарде.

Утицај на приватност, усклађеност са прописима и сајбер криминал

Директна последица овог новог сценарија је драстично повећање ризика за лична приватност и пословна поверљивостЛоше управљани АИ прегледач или екстензија могу да снимају књиге, научне чланке засноване на претплати, нацрте финансијских извештаја, стратешке планове, власнички код или податке о купцима, а да то нико не примети.

У домаћој сфери већ смо видели конкретне неуспехе: ChatGPT је чак приказивао исечке ћаскања других корисника Због техничке грешке, функција дељења разговора генерисала је URL-ове које претраживачи могу индексирати, остављајући хиљаде приватних разговора видљивим свима. Лако је замислити шта би се могло десити када асистент има потпун приступ веб саобраћају и локалним датотекама.

У корпоративној сфери, откривање интелектуалне својине или регулаторних података може значити вишемилионске казне, губитак конкурентске предности и штета на репутацијиАко проширење за транскрипцију састанака чува разговоре са осетљивим клијентима на серверима трећих страна или ако прегледач са вештачком интелигенцијом користи осетљиве финансијске информације за обучавање модела, организација би могла да крши GDPR, CCPA, HIPAA или друге индустријске прописе.

Истовремено, сајбер криминалци користе исте могућности које компаније траже. Рансомвер уз помоћ вештачке интелигенције и полиморфни злонамерни софтвер Већ су примећени у пракси: породице попут PromptLock-а генеришу скрипте у ходу како би се кретале кроз Windows, macOS или Linux системе, избегавале откривање и шифровале податке. Такозвани „тамни LLM-ови“ – отворени модели модификовани за криминалне сврхе – омогућавају аутоматизовано извиђање, крађу акредитива и комплетне кампање упада.

Недавна истраживања су показала да се мастер студије учења (LLM) уграђене у корпоративне токове рада могу приморати да... инсталирати злонамерни софтвер, издвојити податке или манипулисати резултатима једноставно кроз добро осмишљене упите или затроване податке за обуку. Како прегледачи покретани вештачком интелигенцијом постају примарни интерфејс за веб, ова претња ће се проширити на готово сваку онлајн активност.

Спроведене мере ублажавања и препоруке за смањење ризика

Провајдери прегледача са вештачком интелигенцијом почињу да реагују. Поред ограничења која су већ поменута у Атласу, Брејв је предложио конкретне најбоље праксе Да бисте ублажили нападе брзим убризгавањем и злоупотребу агента:

• Јасно разликујте корисничке команде од веб текстаизбегавајући мешање оба у истом каналу инструкција за модел.
• Да захтевају Експлицитна потврда за било коју осетљиву радњу (куповине, промене конфигурације, трансфери новца, приступ имејловима).
• Изолујте напредне функције основног навигационог агентатако да сама посета страници не подразумева могућност аутоматског деловања.
• Покушај сав веб садржај као подразумевано непоуздан, што захтева јасне сигнале о намери корисника пре предузимања акције.

У међувремену, неке компаније, као што је OpenAI, Нуде детаљне контроле за видљивост и меморијублокирати вештачку интелигенцију у одређеним доменима, онемогућити коришћење података за обуку по подразумеваним подешавањима, дозволити кориснику да брише разговоре и сећања када жели или захтевати ручна одобрења на локацијама које се сматрају критичним.

Са становишта компаније корисника, постоји низ основне хигијенске мере које треба спровести што је пре могуће:

• Јасна политика о коришћењу вештачке интелигенцијекоји прегледачи и екстензије су дозвољени, које податке могу обрађивати и под којим условима.
• Континуирана обука за запослене, објашњавање Ризици брзог убризгавања, фишинга усмереног на вештачку интелигенцију и кршења података.
• Употреба виртуелизована или изолована окружења (VDI, sandbox-ови) за задатке високог ризика, тако да је инцидент лакше обуздати.
• Имплементација безбедносна решења усмерена на прегледач који прате екстензије, аномално понашање и крађу података.

„Идеалан вештачки претраживач“, према речима стручњака, требало би да омогући омогућите или онемогућите интелигентну обраду по локацији Једним кликом изолујте контекст модела између домена, увек потврдите унос осетљивих података, ограничите приступ датотекама према оперативном систему и омогућите корисницима да бирају чак и локалне моделе без слања података у облак. Ниједан од тренутних производа још увек не испуњава све ове захтеве, што чини неопходним њихово допуњавање спољним безбедносним слојевима.

Пејзаж који осликавају прегледачи са вештачком интелигенцијом је подједнако моћан колико и деликатан: Ако се добро управљају, могу демократизовати напредну аутоматизацију у свакодневном животу; ако се занемаре, могу постати омиљени алат нападача.Кључно ће бити како ће се техничке мере развијати (изолација, контроле корисника, детекција убризгавања) и колико организације и појединци улажу у разумевање шта тачно ради тај „асистент“ који сада живи у њиховом прегледачу.