Браузеры с встроенным искусственным интеллектом, которые умеют самостоятельно выполнять задачи пользователя на разных сайтах, оказались на удивление уязвимы. Сразу три команды исследователей безопасности — Guardio, Trail of Bits и Zenity Labs — продемонстрировали, как можно обмануть ИИ-браузер Comet от компании Perplexity. Причём одна из атак заняла меньше четырёх минут.
Команда Guardio показала атаку, построенную на явлении, которое исследователь Шейкед Чен назвал «агентной болтливостью» (Agentic Blabbering). Суть в том, что ИИ-браузер работает в реальном времени и непрерывно комментирует свои действия: что он видит, что считает безопасным, что подозрительным, какие шаги собирается предпринять дальше. Атакующий перехватывает этот поток информации между браузером и серверами ИИ-провайдера и скармливает его генеративно-состязательной сети (GAN). Дальше начинается итеративная подгонка: фишинговая страница перегенерируется снова и снова, пока ИИ не перестаёт «жаловаться» и не выполняет на ней вредоносное действие — например, вводит учётные данные пользователя для фиктивного возврата средств. По сути, это автоматизированная машина для создания мошенничества. И работает она пугающе быстро.
Главный сдвиг, который фиксируют исследователи, затрагивает саму природу кибератак. Раньше мошенники пытались обмануть человека. Теперь, когда ИИ-агент берёт на себя всё больше задач без постоянного надзора пользователя, цель атаки смещается: обмануть нужно модель. И у этого есть неприятное следствие — масштабируемость. Если злоумышленник сумел создать страницу-ловушку, которая обходит защиту конкретного ИИ-браузера, эта же ловушка сработает против всех пользователей этого браузера. Не против одного невнимательного человека, а против каждого.
Исследователь Став Коэн описала механизм, который она назвала «столкновением намерений» (Intent Collision). Это ситуация, когда ИИ-агент смешивает в единый план исполнения безобидный запрос пользователя и вредоносные инструкции, подброшенные атакующим через недоверенные веб-данные. Агент не различает эти два источника. Он просто выполняет всё подряд, полагая, что действует в интересах пользователя.
Trail of Bits пошли другим путём. Они продемонстрировали четыре техники инъекции промптов, направленные на извлечение приватной информации из сервисов вроде Gmail. Сценарий выглядел так: пользователь просит ИИ-ассистента обобщить содержимое веб-страницы, контролируемой атакующим, и в процессе обработки браузер сливает конфиденциальные данные на сервер злоумышленника.
Zenity Labs показала, пожалуй, самые тревожные результаты. Их две атаки, получившие названия PerplexedBrowser и PerplexedComet, не требовали вообще никаких действий от жертвы — так называемые zero-click атаки. Вредоносные инструкции подсаживались через непрямую инъекцию промптов, спрятанную внутри приглашений на встречу. Одна из атак позволяла выкачать локальные файлы на внешний сервер. Вторая — перехватить контроль над аккаунтом 1Password, если соответствующее расширение было установлено и разблокировано. Perplexity уже закрыла эти уязвимости, но сам факт их существования показателен.
Тут стоит вспомнить предшествующие исследования — VibeScamming и Scamlexity, — которые ранее продемонстрировали, что платформы для «вайб-кодинга» и ИИ-браузеры можно заставить генерировать мошеннические страницы или исполнять вредоносные действия через скрытые инъекции промптов. Comet стал не первой, а скорее самой заметной жертвой этого класса атак.
Можно ли решить проблему раз и навсегда? OpenAI в декабре 2025 года признала, что полное устранение уязвимостей к инъекциям промптов в больших языковых моделях «вряд ли когда-либо» станет возможным. Риски можно снижать — через автоматическое обнаружение атак, состязательное обучение и новые системные защитные механизмы, — но не ликвидировать.
Проблема, по существу, архитектурная. Языковые модели обрабатывают инструкции и данные в одном потоке. Они не умеют отличать «команды хозяина» от «команд, вшитых в веб-страницу». И пока эта фундаментальная особенность не изменится — а перспектив пока немного, — любой ИИ-агент, автономно гуляющий по интернету от имени пользователя, остаётся потенциальной мишенью. Четыре минуты на взлом. Одна удачная фишинговая страница — и весь парк пользователей конкретного ИИ-браузера под угрозой. Арифметика, которая должна заставить задуматься и разработчиков, и тех, кто торопится доверить ИИ-агентам свои пароли.
Изображение носит иллюстративный характер
Команда Guardio показала атаку, построенную на явлении, которое исследователь Шейкед Чен назвал «агентной болтливостью» (Agentic Blabbering). Суть в том, что ИИ-браузер работает в реальном времени и непрерывно комментирует свои действия: что он видит, что считает безопасным, что подозрительным, какие шаги собирается предпринять дальше. Атакующий перехватывает этот поток информации между браузером и серверами ИИ-провайдера и скармливает его генеративно-состязательной сети (GAN). Дальше начинается итеративная подгонка: фишинговая страница перегенерируется снова и снова, пока ИИ не перестаёт «жаловаться» и не выполняет на ней вредоносное действие — например, вводит учётные данные пользователя для фиктивного возврата средств. По сути, это автоматизированная машина для создания мошенничества. И работает она пугающе быстро.
Главный сдвиг, который фиксируют исследователи, затрагивает саму природу кибератак. Раньше мошенники пытались обмануть человека. Теперь, когда ИИ-агент берёт на себя всё больше задач без постоянного надзора пользователя, цель атаки смещается: обмануть нужно модель. И у этого есть неприятное следствие — масштабируемость. Если злоумышленник сумел создать страницу-ловушку, которая обходит защиту конкретного ИИ-браузера, эта же ловушка сработает против всех пользователей этого браузера. Не против одного невнимательного человека, а против каждого.
Исследователь Став Коэн описала механизм, который она назвала «столкновением намерений» (Intent Collision). Это ситуация, когда ИИ-агент смешивает в единый план исполнения безобидный запрос пользователя и вредоносные инструкции, подброшенные атакующим через недоверенные веб-данные. Агент не различает эти два источника. Он просто выполняет всё подряд, полагая, что действует в интересах пользователя.
Trail of Bits пошли другим путём. Они продемонстрировали четыре техники инъекции промптов, направленные на извлечение приватной информации из сервисов вроде Gmail. Сценарий выглядел так: пользователь просит ИИ-ассистента обобщить содержимое веб-страницы, контролируемой атакующим, и в процессе обработки браузер сливает конфиденциальные данные на сервер злоумышленника.
Zenity Labs показала, пожалуй, самые тревожные результаты. Их две атаки, получившие названия PerplexedBrowser и PerplexedComet, не требовали вообще никаких действий от жертвы — так называемые zero-click атаки. Вредоносные инструкции подсаживались через непрямую инъекцию промптов, спрятанную внутри приглашений на встречу. Одна из атак позволяла выкачать локальные файлы на внешний сервер. Вторая — перехватить контроль над аккаунтом 1Password, если соответствующее расширение было установлено и разблокировано. Perplexity уже закрыла эти уязвимости, но сам факт их существования показателен.
Тут стоит вспомнить предшествующие исследования — VibeScamming и Scamlexity, — которые ранее продемонстрировали, что платформы для «вайб-кодинга» и ИИ-браузеры можно заставить генерировать мошеннические страницы или исполнять вредоносные действия через скрытые инъекции промптов. Comet стал не первой, а скорее самой заметной жертвой этого класса атак.
Можно ли решить проблему раз и навсегда? OpenAI в декабре 2025 года признала, что полное устранение уязвимостей к инъекциям промптов в больших языковых моделях «вряд ли когда-либо» станет возможным. Риски можно снижать — через автоматическое обнаружение атак, состязательное обучение и новые системные защитные механизмы, — но не ликвидировать.
Проблема, по существу, архитектурная. Языковые модели обрабатывают инструкции и данные в одном потоке. Они не умеют отличать «команды хозяина» от «команд, вшитых в веб-страницу». И пока эта фундаментальная особенность не изменится — а перспектив пока немного, — любой ИИ-агент, автономно гуляющий по интернету от имени пользователя, остаётся потенциальной мишенью. Четыре минуты на взлом. Одна удачная фишинговая страница — и весь парк пользователей конкретного ИИ-браузера под угрозой. Арифметика, которая должна заставить задуматься и разработчиков, и тех, кто торопится доверить ИИ-агентам свои пароли.
