Láthatatlan fenyegetés – komoly biztonsági rést találtak az AI-böngészőkben
Az úgynevezett „agentikus” AI-böngészők – vagyis azok, amelyek nem csak olvasnak helyettünk, hanem kattintanak, bejelentkeznek, űrlapokat töltenek ki és akár vásárolnak is – elképesztően kényelmesnek tűnnek. Csakhogy a legfrissebb kutatások szerint pontosan ez a kényelem lett a legnagyobb gyengeségük. Biztonsági szakértők arra figyelmeztetnek, hogy ezek a böngészők könnyen rávehetők arra, hogy végrehajtsanak rejtett, rosszindulatú utasításokat, anélkül hogy a felhasználó tudna róla. Ez az úgynevezett „prompt injection” támadás, és ma már nem elmélet: több konkrét böngészőben is sikeresen bemutatták, köztük a Perplexity Cometben és a Fellou nevű AI-böngészőben.
Rejtett parancsok a képernyőképekben
Az egyik legsúlyosabb most feltárt sebezhetőség a Perplexity Comet asszisztensét érinti. A Comet képes arra, hogy képernyőképeket elemezzen: a felhasználó készít egy screenshotot egy weboldalról, feltölti, és megkéri az AI-t, hogy magyarázza el a tartalmat. A gond ott kezdődik, hogy a képen nem csak a felhasználó által látott szöveg jelenik meg, hanem minden olyan halvány, elrejtett vagy nehezen észrevehető utasítás is, amit egy támadó a háttérbe csempészett. A kutatók azt találták, hogy ezeket a láthatatlan szövegeket az AI nem külön kezeli, hanem ugyanúgy parancsként értelmezi, és megpróbál cselekedni is – például hozzáférni máshol megnyitott oldalakhoz, fiókokhoz, vagy adatokat lekérni.
Ez azért különösen veszélyes, mert az ilyen böngészők gyakran már be vannak jelentkeztetve banki, e-mailes vagy céges fiókokba. Vagyis nem egy kitalált sci-fi forgatókönyvről beszélünk: elméletben elég lehet egy ártatlannak tűnő weboldal képernyőmentését „elemeztetni” a böngésző beépített AI-jával, és ezzel ki is nyitjuk az ajtót egy támadónak. A szakértők szerint ez nem hagyományos feltörés, nem klasszikus malware, hanem manipuláció: az AI-t utasítják, és az AI engedelmeskedik.
Amikor elég csak megnyitni egy oldalt
A Fellou böngészőben egy másik típusú problémát mutattak ki. Itt nem kellett láthatatlan trükköket rejteni a háttérbe. Elég volt annyi, hogy a felhasználó megkérje a böngészőt: „nyisd meg ezt a weboldalt”. A kutatók azt tapasztalták, hogy a böngésző a megnyitott oldal teljes szövegét automatikusan elküldi a saját nyelvi modelljének háttérfeldolgozásra, és ezt a tartalmat megbízhatónak kezeli. Ha az oldalon szándékosan elhelyezett utasítások vannak (“csináld ezt”, “lépj be ide”, “küldd el ezt az adatot”), akkor a böngésző könnyen előnyben részesítheti ezeket az utasításokat a felhasználó eredeti kérésével szemben.
Fontos: itt már nem kell külön kérni, hogy „foglaljuk össze az oldalt”. Már az oldal felkeresése is elég ahhoz, hogy a modell a támadó által megírt szöveges parancsokkal találkozzon, és azokat a saját működési logikája részeként kezelje. Ez a különbség teszi a mostani helyzetet sokkal súlyosabbá a hagyományos adathalász próbálkozásoknál.
Kapcsolódó tartalom: Mi történik, ha a mesterséges intelligencia maga költi el a pénzt?
Miért más ez, mint egy átlagos vírus vagy phishing?
A klasszikus böngészőkben a rosszindulatú kód jellemzően „határokba ütközik”: a böngésző nem engedi, hogy egy idegen weboldal csak úgy rálásson a banki oldalunkra vagy belepiszkáljon a levelezésünkbe. Ezt hívjuk többek közt „same-origin policy”-nek, vagyis az egyik lap nem mászkálhat át a másikba. Az AI-böngészők viszont gyakran úgy működnek, mint egy asszisztens, aki mindent lát, amire mi be vagyunk jelentkezve – és aki a háttérben akár több lap között is képes műveleteket végezni helyettünk. Ha ez az asszisztens becsapható, akkor a régi védelmi szabályok hirtelen megkerülhetővé válnak.
A kutatók szerint ezért az ilyen jellegű böngészés – az úgynevezett „agentikus böngészés”, ahol a rendszer aktívan cselekszik a felhasználó nevében – jelenleg eleve kockázatos, és úgy is kell kezelni. Addig, amíg nem lesz átfogó, iparági szintű biztonsági megoldás, a felhasználóknak óvatosnak kell lenniük azzal kapcsolatban, mit engednek az AI-nak: például valóban rábízzák-e a banki belépést, vállalati belső rendszerek böngészését vagy bizalmas e-mailek áttekintését.
Merre lehet ebből kivezető út
A fejlesztői oldalról érkező javaslatok egy irányba mutatnak: világos határ kell a felhasználótól származó kérés és a weboldalról begyűjtött tartalom között. Magyarul: a böngésző ne kezelje egyformán a „Kérlek, foglald össze ezt az oldalt” típusú felhasználói kérést és egy ismeretlen oldal rejtett szövegét. Ehelyett a böngészőnek szigorúan ellenőrzött, elkülönített lépésekben kellene dolgoznia, és csak akkor szabadna automatikusan műveletet végrehajtania (például másik oldal megnyitását, bejelentkezést, adatmásolást), ha a felhasználó ezt kifejezetten jóváhagyta.
A kutatók arra is figyelmeztetnek, hogy amíg ez a szemléletváltás nem történik meg az iparágban, addig az AI-böngészés közelebb áll egy kísérleti technológiához, mint egy érett, biztonságos mindennapi eszközhöz.