Современные веб-обозреватели всё активнее обрастают искусственным интеллектом. Разработчики наперебой добавляют нейросетевые функции, пытаясь сделать серфинг удобнее. Но за фасадом прогресса скрываются серьёзные риски, о которых разработчики предпочитают не распространяться.
Два мира — два подхода
Chrome уже давно живёт в парадигме «умного браузера». Поиск по истории с элементами ИИ, интеграция с нейросетями Google — пользователи давно привыкли, что их данные работают на улучшение сервисов. Вопросы приватности здесь традиционно отходят на второй план.
Firefox долгое время был исключением — браузер для тех, кому важна конфиденциальность. Но с приходом нового руководства стратегия изменилась. Теперь Mozilla делает ставку на ИИ-инструменты: в браузер встраивают чат-ботов, суммаризаторы текстов, поисковик Perplexity. И это ломает старые договорённости с пользователями.
Самое интересное: та самая аудитория, которая выбирала Firefox за его принципы, оказалась не в восторге от нововведений. Люди не любят, когда им навязывают опции, особенно если те работают по умолчанию и непонятно, как именно обрабатывают личные данные. А технические детали и вовсе заставляют задуматься о безопасности.
Главная опасность — в коде страницы
Угроза, о которой речь, не имеет ничего общего с классическими вирусами или фишингом. Всё тоньше и сложнее.
Представьте: злоумышленник размещает на сайте скрытый текст. Невидимые глазом команды, вписанные в разметку страницы, в описания изображений или просто белым по белому. Когда браузерный ИИ пытается проанализировать сайт — сделать краткое содержание или ответить на вопрос, — он считывает и эти скрытые инструкции. И воспринимает их как руководство к действию.
Это называется непрямой промпт-инъекцией. И здесь кроется принципиально новый класс уязвимостей.
Раньше, чтобы взломать программу, хакеру нужно было найти ошибку в коде — редкую, сложную, неуловимую. Теперь достаточно грамотно составить текстовую команду. А если ИИ-агент имеет доступ к данным браузера — сессиям, паролям, истории, — последствия могут быть катастрофическими. Теоретически злоумышленник может заставить нейросеть отправить ему учётные данные, и пользователь даже не заметит подмены.
Сложность ещё и в том, что языковые модели — штука вероятностная. Нельзя просто прописать в них «не делай зла» и быть уверенным на сто процентов. Лазейки находят постоянно.
Пока что полноценные ИИ-агенты в массовых браузерах — дело будущего. Но будущее это ближе, чем кажется. Экспериментальные версии вроде ChatGPT Atlas, Opera Neon или Perplexity Comet уже существуют. Отрасль движется именно в этом направлении.
Как можно защититься?
Разработчики ищут способы обезопасить пользователей. Полностью исключить риски вряд ли получится, но минимизировать — вполне.
Один из рабочих методов — полная изоляция ИИ-сессий. Если нейросеть работает в отдельном, «стерильном» профиле, у неё нет доступа к вашим личным данным, банковским авторизациям и перепискам. Она видит только то, что нужно для выполнения конкретной задачи.
Другой подход — двойной контроль. Одна нейросеть выполняет запрос, вторая — независимая — проверяет, не вышла ли первая за рамки и не подчинилась ли чужой скрытой команде. Своеобразный ИИ-надзиратель.
Важно и ограничение «географии» доступа. Умные агенты не должны заходить на подозрительные сайты, внутренние страницы настроек, ресурсы без шифрования. Чем уже круг доступного, тем меньше возможностей для атаки.
И наконец — главное: всё должно включаться только с согласия пользователя и быть максимально прозрачным. Никаких «по умолчанию», никакой работы в фоне без предупреждения.
В OpenAI, кстати, пошли дальше — создали специальный ИИ, который тренируется взламывать других ИИ-агентов. Этот «цифровой взломщик» десятки раз проигрывает сценарии атак, запоминает реакции и дорабатывает стратегию. Чтобы потом, уже в реальных условиях, закрыть найденные бреши.
Вместо вывода
Искусственный интеллект в браузере — это действительно удобно. Но цена этого удобства пока не до конца ясна. Хорошо бы, чтобы выбор — пользоваться нейросетями или нет — всегда оставался за человеком. И чтобы каждый ИИ-сеанс был честно маркирован, а не работал втихую, собирая данные без спроса.
По материалам 4pda.ru