Riscuri grave pentru confidențialitate și securitate în noile browsere cu agenți AI

Noile browsere „cu inteligență” promit să ne rezolve sarcini singure: să caute, să dea click, să completeze formulare și chiar să trimită mesaje în locul nostru. Dar odată cu ușurința apar și riscurile. Cercetători în securitate atrag atenția că agenții AI integrați în browsere – de la ChatGPT Atlas la Comet – lărgesc suprafața de atac și pot scăpa informații sensibile, de la emailuri la date de autentificare, printr-o tehnică numită „prompt injection”. Pe scurt: instrucțiuni ascunse în pagini web sau imagini pot păcăli agentul să execute acțiuni nedorite, uneori chiar în numele utilizatorului. TechCrunch sintetizează îngrijorările industriei și constată că, deocamdată, beneficiile practice sunt modeste, iar riscurile reale.

Ce nu vă spun reclamele: agentul citește, interpretează și acționează

Agenții AI nu se limitează la a „vedea” un site. Ei interpretează conținutul și pot acționa pe baza lui. Aici intervine prompt injection: instrucțiuni ascunse într-o pagină, într-un document sau chiar într-o imagine pot devia comportamentul agentului. Echipa Brave, browser axat pe confidențialitate, a demonstrat atacuri indirecte care exploatează tocmai această capacitate de interpretare: text aproape invizibil sau instrucțiuni încapsulate în imagini pot comanda agentului să trimită date sau să inițieze acțiuni fără știrea utilizatorului. Concluzia lor este tranșantă: problema e sistemică la nivelul întregii categorii de browsere cu AI.

În paralel, publicații de tehnologie au documentat că noile produse pot fi „utile” doar pentru sarcini simple, mai ales când li se acordă acces extins la email, calendar și contacte – exact acest acces însă sporește miza în caz de atac reușit. TechCrunch notează că versiunile actuale se pot împiedica la taskuri complexe și pot dura mult până finalizează un flux automatizat, ceea ce le face să pară mai degrabă „trucuri simpatice” decât acceleratoare serioase de productivitate.

Ce fac companiile și de ce nu este suficient

Perplexity spune că a implementat un sistem de detecție în timp real al prompt injection și, în propriul blog, admite că fenomenul „cere regândirea securității de la zero”, deoarece atacurile manipulează procesul decizional al AI-ului, întorcând capabilitățile agentului împotriva utilizatorului. Tot Perplexity a fost vizat în rapoarte Brave și Guardio privind vulnerabilități în Comet, inclusiv scenarii în care agentul execută instrucțiuni malicioase îngropate în sumarul unei pagini sau cade în plasa unor escrocherii banale.

OpenAI a introdus un „logged out mode” pentru Atlas: agentul navighează fără a fi conectat în conturile utilizatorului, limitând astfel cât de mult poate „vedea” sau face. Însă chiar și OpenAI admite că prompt injection rămâne „o problemă de securitate nerezolvată” și că adversarii vor investi timp și resurse pentru a o exploata. Într-o postare discutată intens, CISO-ul OpenAI a recunoscut explicit caracterul deschis al frontului de luptă cu acest tip de atac.

Recomandări practice: cum folosiți agenții AI fără să vă ardeți

Primul pas este „principiul minimului necesar”: acordați agentului doar permisiunile strict indispensabile unei sarcini. Dacă un rezumat de pagină nu are nevoie de email, nu conectați emailul. Evitați să oferiți acces la conturi sensibile (bancar, sănătate) până când soluțiile de securitate devin mai mature. Cercetările Brave recomandă separarea browserelor: unul „curat” pentru operațiuni critice și altul pentru experimente cu agenți AI – ideal în profiluri sau containere distincte.

În al doilea rând, activați autentificarea multifactor și parole unice pentru conturile legate de aceste browsere. Specialiștii consultați de TechCrunch avertizează că credențialele conturilor de AI vor deveni o țintă valoroasă. Gestionați cu grijă auto-completarea și salvați cât mai puține sesiuni logate când porniți un agent. În măsura în care produsul permite, solicitați confirmare umană pentru acțiuni „cu impact” (plăți, postări, formulare critice).

Semnele unui atac și ce urmează în industrie

Semnele clasice că ceva e în neregulă: agentul solicită permisiuni suplimentare fără legătură cu taskul; încearcă să deschidă pagini sau să trimită date „în afara scenariului”; sau cere să dezactivați reguli de securitate. Fiți atenți la documente partajate (inclusiv Google Docs) și la imagini încărcate în pagini – ambele pot ascunde instrucțiuni pentru agent. Cazuri recente descriu atacuri reușite bazate pe astfel de „mesaje invizibile”.

În direcția corectă, vedem două linii de evoluție: filtrare mai agresivă a conținutului „neîncrezut”, cu detectare la nivel de pagină și imagine, și arhitecturi care separă strict „instrucțiunile de bază” ale agentului de datele pe care le procesează. Până acolo însă, consensul rămâne rezervat: e „un joc de-a șoarecele și pisica”, cu atacuri și contra-măsuri în evoluție continuă. Până când standardele se maturizează, prudența și limitarea expunerii sunt singurele strategii cu adevărat eficiente.

Sfat pentru cititori: dacă testați un browser cu agent AI, începeți în modul delogat, cu permisiuni minime, într-un profil separat, și confirmați manual orice acțiune care implică date personale sau bani. În acest moment, confortul de a „face lucruri singur” nu compensează riscurile dacă puneți la bătaie conturi importante.