Browserele care integrează agenți AI – precum ChatGPT Atlas de la OpenAI și Comet de la Perplexity – aduc o nouă categorie de riscuri de securitate. Cercetătorii avertizează că aceste instrumente pot fi exploatate prin atacuri de tip prompt injection indirect, capabile să acceseze date sensibile din sesiunile utilizatorilor. Vulnerabilitățile, deși reale, pot fi reduse prin practici de utilizare prudentă și prin separarea clară a instrucțiunilor AI de conținutul web nesigur.
Cum apar vulnerabilitățile
Atacurile de prompt injection indirect funcționează prin inserarea de instrucțiuni malițioase în conținut extern — pagini web, comentarii, documente sau chiar capturi de ecran. Agenții AI procesează aceste instrucțiuni ca și cum ar fi cereri legitime ale utilizatorului.
În cazul Comet, cercetătorii au demonstrat că atacatorii pot ascunde comenzi în comentarii Reddit, sub etichete spoiler. Când utilizatorul cere sumarizarea paginii, AI-ul poate naviga autonom către site-uri sensibile, extrage date din conturi logate – cum ar fi Gmail – și le transmite către servere externe. Practic, AI-ul devine o punte de acces care ocolește protecții fundamentale precum politica de origine comună (SOP).
O variantă mai sofisticată, numită CometJacking, exploatează parametrii URL pentru a lansa conversații malițioase cu un singur click. Atacatorii pot forța AI-ul să acceseze memoria internă a sesiunii și să extragă informații din servicii conectate, inclusiv Gmail sau Google Calendar. Datele furate sunt adesea codificate (de exemplu, în base64) pentru a evita detectarea, iar browserul devine, în esență, un vector de atac intern. Potrivit unui studiu al LayerX, astfel de atacuri pot dezvălui e-mailuri complete, structuri organizaționale și date personale.
Riscuri similare pentru ChatGPT Atlas și Claude
Și ChatGPT Atlas, browserul dezvoltat de OpenAI, se confruntă cu amenințări similare. Agenții săi pot fi păcăliți de instrucțiuni ascunse în pagini web sau e-mailuri, care îi determină să acționeze asupra datelor sensibile ale utilizatorului. OpenAI recunoaște riscurile, subliniind însă că Atlas nu poate executa cod local sau accesa fișiere, iar atacurile depind de capacitatea AI-ului de a interpreta instrucțiuni camuflate.
Un raport recent al Brave arată că aceste probleme nu se limitează la textul vizibil. Instrucțiuni ascunse în capturi de ecran – de exemplu, text invizibil colorat similar cu fundalul – pot declanșa acțiuni neintenționate fără ca utilizatorul să observe.
Într-un context apropiat, funcția “computer use” a lui Claude, dezvoltat de Anthropic, extinde aceste riscuri la nivel de sistem. Modulul permite AI-ului să interacționeze direct cu desktopul utilizatorului, să interpreteze capturi de ecran și să ruleze comenzi bash. Cercetătorii avertizează că atacatorii pot ascunde instrucțiuni în documente aparent inofensive, determinând AI-ul să descarce sau să execute programe malițioase. În scenarii extreme, dispozitivul poate deveni un „zombie” controlat de la distanță.
Cum să folosești aceste instrumente în siguranță
Riscurile nu ar trebui să descurajeze utilizarea agenților AI în browsere, dar impun o disciplină nouă. În primul rând, folosește moduri izolate: în ChatGPT Atlas, deconectează-te de la conturile sensibile atunci când soliciți acțiuni AI legate de web. În Comet, verifică manual orice acțiune înainte ca agentul să o execute, mai ales dacă presupune navigare autonomă.
Câteva bune practici esențiale:
- Cere confirmări explicite pentru operațiuni sensibile, precum accesarea e-mailurilor sau navigarea către site-uri noi.
- Utilizează agenții AI doar pentru sarcini neutre – de exemplu, sumarizări de conținut – și evită-le în sesiunile unde ești autentificat în conturi personale.
- Ține browserul și extensiile AI actualizate. Atât OpenAI, cât și Perplexity publică frecvent patch-uri de securitate.
- Evită paginile și link-urile din surse necunoscute. Textul ascuns poate conține comenzi malițioase.
- Pentru date critice, validează informațiile printr-un browser tradițional, fără AI activ.
Aceste măsuri reduc suprafața de atac și oferă un nivel de control minim necesar pentru a naviga în siguranță.
Context și evoluție
Browserele cu agenți AI reprezintă următorul pas în interacțiunea om-calculator. Ele promit automatizări mai inteligente, planificări contextuale și acces rapid la informație. ChatGPT Atlas, lansat recent de OpenAI, oferă un sidebar AI care răspunde la întrebări despre pagini web și poate executa sarcini complexe pentru abonații Plus și Pro. Comet, lansat de Perplexity în prima jumătate a lui 2025, a fost criticat pentru vulnerabilități raportate în iulie, dar compania a anunțat ulterior actualizări de securitate.
Cercetările Brave și LayerX arată că riscurile acestor instrumente sunt structurale, nu izolate. Ele pot fi gestionate prin arhitecturi de securitate adaptate – cum ar fi izolarea completă a conținutului web și cererea explicită de confirmări utilizator.
Pe măsură ce agenții AI devin mai autonomi, linia dintre asistență și control se subțiază. În absența unor standarde clare, responsabilitatea rămâne la utilizator: să folosească aceste instrumente cu discernământ și să înțeleagă că, în lumea AI, cea mai bună protecție este încă atenția umană.
