Featured image for uyazvimosti v brauzerah s ii agentami otkryvayut put k krazhe dannyh

Уязвимости в браузерах с ИИ-агентами открывают путь к краже данных

ОтAlexei

Развитие концепции браузеров-агентов, способных самостоятельно заполнять формы и планировать маршруты, принесло с собой не только удобство, но и новые векторы атак. Как сообщает издание Cyber Press, исследователи безопасности обнаружили критические риски, позволяющие злоумышленникам перехватывать управление сессиями через классические веб-уязвимости, адаптированные под логику больших языковых моделей (LLM).

Современные решения, такие как Perplexity Comet, OpenAI Atlas, Edge Copilot и Brave Leo, постепенно превращаются из пассивных советчиков в автономных операторов. Проблема заключается в том, что для выполнения многошаговых задач этим инструментам требуется глубокая интеграция с программным стеком браузера, что создает скрытые каналы управления, доступные для эксплуатации.

В архитектуре Perplexity Comet была выявлена возможность использования XSS-уязвимостей на доверенных доменах для прямой отправки сообщений через chrome.runtime.sendMessage. Это позволяет атакующему «дирижировать» инструментами агента: читать содержимое соседних вкладок, имитировать клики по элементам интерфейса или даже отправлять электронную почту от имени легитимного пользователя.

Архитектурные компромиссы и «агент-джекинг»

Проект OpenAI Atlas сталкивается со схожими вызовами на уровне межпроцессного взаимодействия (IPC). Уязвимость на поддоменах openai.com может скомпрометировать глобальный объект Mojo, предоставляя атакующему контроль над хост-процессом Chromium. В такой конфигурации традиционные защитные барьеры LLM оказываются бесполезными, так как команды поступают напрямую в движок браузера.

Защитные механизмы, внедряемые разработчиками, пока выглядят скорее как временные заплатки, нежели фундаментальные решения. В Comet, например, используется флаг local_search_enabled, который пытается отличить доверенный запрос пользователя от вредоносного промпта, переданного через параметры URL. Если система фиксирует подозрительный источник, агент переходит в пассивный режим, ограничивая свои возможности.

Интеграция LLM в ядро браузера разрушает концепцию изоляции, которую индустрия выстраивала десятилетиями. Мы наблюдаем попытку скрестить ежа с ужом: агент должен обладать полномочиями пользователя для эффективности, но именно эта избыточность прав делает любую XSS-уязвимость фатальной. Технологический триумф автономности здесь сталкивается с архитектурной наивностью, превращая браузер в послушный инструмент для извлечения данных под управлением извне. Безопасность приносится в жертву бесшовности, и это стратегический тупик.

Инженеры Brave выбрали иной путь, сознательно ограничивая функциональность своего помощника Leo. Он остается не-агентским и загружает интерфейс исключительно из внутренних ресурсов браузера. Это полностью исключает целый класс рисков, связанных с удаленным исполнением кода, хотя и делает инструмент менее «умным» в сравнении с конкурентами.

Специалисты компании Varonis подчеркивают, что главная сложность кроется в парадоксе полезности: чтобы быть по-настоящему эффективным, ИИ-агент обязан пересекать границы безопасности, которые браузеры традиционно защищали. В условиях, когда одна инъекция промпта может привести к полной краже сессии, пользователям стоит проявлять осторожность при делегировании критических задач полуавтономным системам.

Похожие записи