Исследование Guardio показало, что агентные ИИ‑браузеры — такие как Comet от Perplexity — уязвимы для известных и принципиально новых сценариев атак. Эти браузеры способны самостоятельно выполнять действия от имени пользователя: посещать сайты, совершать покупки, обрабатывать почту и даже переходить по фишинговым ссылкам без дополнительного подтверждения или проверки легитимности ресурсов.
Критические риски и уязвимости
Guardio продемонстрировал три ключевые группы уязвимостей:
- Браузер Comet может совершать покупки на поддельных сайтах, автоматически заполняя сохранённые данные карт и адресов.
- Агент совершает переходы по фишинговым ссылкам, обработав любое письмо как инструкцию — без оценки происхождения сообщения.
- ИИ способен выполнить вредоносные скрытые команды: если captcha или другая «легитимная» часть страницы содержит спрятанные инструкции (prompt injection), Comet их автоматически обработает и, например, скачает вредоносный файл.
Причина — отсутствие встроенных «охранных барьеров»: модели ориентируются на успешное выполнение задач, не проявляя должного уровня недоверия, скепсиса и не всегда запрашивая разрешения на опасные действия.
Масштаб потенциальной угрозы
Особую опасность представляет новый тип атак: после успешного взлома одной модели злоумышленники могут использовать найденную схему для миллионов пользователей благодаря распространённости одинаковых ИИ-решений. Мошеннику нет нужды обманывать людей — достаточно обмануть ИИ и затем автоматизировать эксплойт.
Более того, новые атаки строятся не только на мошенничестве с интерфейсом, но и на манипуляции подсказками для ИИ: prompt injection часто скрывают за визуально легитимными элементами.
Рекомендации экспертов
Исследователи рекомендуют избегать полагаться на агентные браузеры для задач с высокой степенью доверия: покупать, управлять банковскими операциями, вводить пароли и личные данные. Предпочтительно важную информацию вводить вручную, а действия ИИ-браузеров всегда перепроверять. Ожидается, что с ростом распространения технологий угрозы этого класса станут заметнее для массового рынка, формируя новые вызовы для кибербезопасности.