Исследователи по безопасности предупреждают о том, что «инъекции промптов» могут превращать браузеры со встроенным искусственным интеллектом в инструмент кибератак.
В отличие от традиционного хакерства, основанного на поиске уязвимостей в коде, метод prompt injection («инъекция промпта») использует тщательно подобранные слова. Суть в том, что искусственный интеллект воспринимает скрытые инструкции внутри безобидного текста и выполняет их так, будто они были введены пользователем.
Подобные команды могут быть «спрятаны» в веб-страницах, PDF-файлах или комментариях в соцсетях. Для человека они выглядят как обычный текст или вовсе остаются незаметными — например, если инструкции скрыты с помощью белого шрифта на белом фоне. Однако для ИИ они становятся сигналом к действию.
Почему это становится проблемой
Распространение ИИ в браузерах открывает новые возможности, но вместе с тем и новые риски. Обычные ИИ-помощники ограничиваются задачами вроде краткого пересказа статьи или поиска информации. Но исследователи отмечают, что развивается концепция так называемых «агентных браузеров».
Такие системы могут действовать автономно: бронировать билеты, управлять аккаунтами или совершать покупки без постоянного контроля со стороны пользователя. Именно здесь возникает уязвимость: столкнувшись с подменёнными инструкциями, ИИ-браузер способен невольно передать данные банковской карты или инициировать транзакцию.
Уязвимости на практике
Компания Malwarebytes показала, что даже обычные сайты или комментарии в соцсетях могут внедрять скрытые команды. Похожий эксперимент провела компания Brave: её помощник Leo исследовал риски при работе с экспериментальным браузером Comet от Perplexity. Несмотря на попытки исправлений, защита от косвенных «инъекций промптов» остаётся неполной.
Главная проблема — отсутствие чёткой границы между командами, которые действительно вводит пользователь, и внешним контентом, который ИИ обрабатывает «по пути».
Как снизить риски
Эксперты рекомендуют несколько мер безопасности:
- ограничивать полномочия ИИ-браузеров;
- регулярно обновлять ПО;
- проверять источники сайтов перед разрешением автоматических действий;
- использовать многофакторную аутентификацию;
- контролировать журналы активности;
- не доверять системам выполнение критически важных операций без подтверждения пользователя.
Исследователи считают, что в будущем защита должна строиться на более строгой фильтрации данных и чётком разделении пользовательских команд и внешнего контента.
