Браузерные AI-агенты оказались уязвимы к скрытым командам на сайтах

Оглавление

• Запуск Claude for Chrome
• Гонка AI-браузеров
• Реальные угрозы и меры защиты
• Экспертная оценка и реальные инциденты

С появлением AI-ассистентов, способных управлять веб-браузерами, возникает новая угроза безопасности: пользователи должны доверять каждому сайту, который не попытается захватить их AI-агент скрытыми вредоносными инструкциями. Эксперты выразили обеспокоенность этой возникающей угрозой после тестирования, которое показало, что браузерные AI-агенты могут быть успешно обмануты в выполнении вредоносных действий почти в четверти случаев.

Запуск Claude for Chrome

Во вторник Anthropic анонсировала запуск Claude for Chrome — браузерного AI-агента, который может выполнять действия от имени пользователей. Из-за проблем безопасности расширение выпускается только как исследовательский превью для 1000 подписчиков плана Max стоимостью от $100 до $200 в месяц, с листом ожидания для других пользователей.

Расширение позволяет общаться с моделью Claude в боковой панели, которая сохраняет контекст всего происходящего в браузере. Пользователи могут предоставить Claude разрешение на выполнение задач: управление календарями, планирование встреч, составление ответов на email, обработка отчетов о расходах и тестирование функций сайтов.

Гонка AI-браузеров

Расширение Anthropic отражает новую фазу конкуренции AI-лабораторий. В июле Perplexity запустила собственный браузер Comet с AI-агентом для выполнения задач. OpenAI недавно выпустила ChatGPT Agent, а Google интегрировала Gemini с Chrome.

Эта спешка интеграции AI в браузеры обнажила фундаментальную уязвимость безопасности, которая может серьезно рисковать пользователями. Даже с защитными мерами успешность атак остается неприемлемо высокой для массового использования.

Реальные угрозы и меры защиты

Anthropic провела тестирование 123 случаев, представляющих 29 различных сценариев атак, и обнаружила 23.6% успешных атак при работе без защитных мер. Один из примеров включал вредоносное email-сообщение, которое давало инструкции Claude удалить emails пользователя для «гигиены почтового ящика».

Компания внедрила несколько защитных мер:

• Предоставление/отзыв доступа к конкретным сайтам через разрешения на уровне сайтов
• Требование подтверждения пользователя перед действиями с высоким риском
• Блокировка доступа к финансовым сервисам, контенту для взрослых и пиратскому контенту по умолчанию

Эти меры снизили успешность атак с 23.6% до 11.2% в автономном режиме. В специализированном тесте четырех типов атак, специфичных для браузеров, защитные меры, по сообщениям, снизили успешность с 35.7% до 0%.

Экспертная оценка и реальные инциденты

Независимый AI-исследователь Саймон Уиллисон, который подробно писал о рисках безопасности AI и ввел термин «prompt injection» в 2022, назвал оставшиеся 11.2% успешных атак «катастрофическими».

В своем блоге он написал: «В отсутствие 100% надежной защиты я с трудом представляю мир, в котором это хорошая идея». Ранее в посте о похожих проблемах безопасности с внедрением промптов в Perplexity Comet он высказался: «Я уверен, что вся концепция агентских браузерных расширений фатально недоработана и не может быть построена безопасно».

Риски безопасности уже не теоретические. На прошлой неделе команда по безопасности Brave обнаружила, что браузер Perplexity Comet можно обмануть для доступа к Gmail аккаунтам пользователей и активации процессов восстановления паролей через вредоносные инструкции, скрытые в постах на Reddit.

Anthropic планирует использовать исследовательский превью для идентификации и решения шаблонов атак перед широким выпуском расширения.