Безпека ШІ-браузерів: Вразливості та загрози
Після виходу нового ШІ-браузера Comet від Perplexity, експерти почали аналізувати його безпеку. Зокрема, перевірки, проведені компанією Brave, виявили, що такі браузери можуть легко стати жертвами шкідливих запитів від шахраїв, що ставить під загрозу особисті дані користувачів. Це підтвердила й компанія OpenAI.
OpenAI, яка нещодавно представила браузер ChatGPT Atlas, опублікувала нову статтю в блозі, в якій описала виявлену вразливість та заходи для її усунення. Вони зазначають, що шкідливі запити є постійною проблемою безпеки штучного інтелекту, тому продукти потребують регулярного оновлення захисту.
Атаки з використанням шкідливих запитів, або prompt injection, є специфічним видом атак на ШІ‑агентів у браузерах, коли в контент навмисно вбудовуються шкідливі інструкції. Вони можуть з'являтися на веб-сайтах, в електронних листах, PDF-файлах або інших матеріалах, з якими взаємодіє ШІ. Головною метою таких атак є змусити модель змінити свою поведінку та виконати команди зловмисника замість запитів користувача.
Ці атаки є особливо небезпечними, адже в більшості випадків не потребують участі людини. Користувач навіть може не здогадуватися, що ШІ‑агент у фоновому режимі передає його особисті дані шахраям або виконує інші дії, закладені зловмисниками, наприклад, розсилає шкідливі листи.
Щоб протидіяти таким атакам, OpenAI створила "автоматизованого зловмисника на базі LLM" — по суті, ШІ‑бота, який імітує дії хакера та намагається здійснювати prompt injection. Спочатку цей ШІ тестує атаки в окремому симуляторі, щоб перевірити реакцію браузерних агентів. Аналізуючи результати, система постійно вдосконалює свої атаки, щоб навчитися краще їх виявляти в реальних умовах. Отримані дані згодом інтегруються в механізми захисту.
OpenAI також продемонструвала приклад prompt injection, який її ШІ виявив та використав для покращення захисту ChatGPT Atlas. В одній з ситуацій зловмисник надіслав електронний лист з прихованою інструкцією для ШІ‑агента, фактично шаблоном заяви про звільнення генерального директора. Пізніше, коли користувач попросив написати гендиректору повідомлення про відсутність, агент зміг би використати цю інструкцію та надіслати лист про звільнення. Проте завдяки навчанню система розпізнала, що інструкція була шкідливим впровадженням запиту, і відмовилася її виконати без явного підтвердження користувача.
"Складність атак з використанням шкідливих запитів робить детерміновані гарантії безпеки важкими, але завдяки масштабуванню наших автоматизованих досліджень, змагальному тестуванню та зміцненню циклу швидкого реагування, ми можемо покращити стійкість та захист моделі до того, як станеться реальна атака", — йдеться в блозі компанії.
Невзираючи на нові інструменти та заходи безпеки, prompt injection залишається серйозною загрозою для браузерів на базі ШІ. Це спонукає деяких експертів ставити під сумнів доцільність використання таких агентних браузерів, враховуючи ризики для особистих даних.
