Внедрение инструкций через подсказки принципиально отличается от традиционного взлома. Вместо вредоносного кода атака строится на тщательно подобранных словах. Этот сдвиг подчёркивает уникальные проблемы безопасности, которые искусственный интеллект привносит в широко используемые платформы, такие как веб-браузеры. Искусственный интеллект всё активнее интегрируется в повседневные технологии, включая веб-браузеры. Однако новое исследование Malwarebytes вызывает опасения, что этот переход может привести к появлению новых атак, основанных не на коде, а на языке.
В основе проблемы лежит метод под названием внедрение инструкций через подсказки — способ обмануть большие языковые модели, заставив их выполнять скрытые инструкции, встроенные в безобидный на первый взгляд контент. Выводы Malwarebytes показывают, что по мере того как браузеры начинают включать ИИ-ассистентов, способных глубже взаимодействовать с сайтами, они могут становиться более уязвимыми к подобным манипуляциям. LLM создаются для выполнения пользовательских подсказок — будь то вопрос, запрос на резюме или команда. Проблема в том, что эти модели не всегда проводят чёткую грань между внутренними инструкциями, например правилами разработчиков против вредоносных действий, и внешним вводом от пользователей или стороннего контента. Эта слабость открывает пространство для злоумышленников.
Внедрение инструкций через подсказки основано на языковых уловках: вместо эксплуатации программных ошибок атакующие встраивают тщательно составленные команды в текст или данные. Когда система ИИ обрабатывает этот текст — например, с веб-страницы или PDF, — она может интерпретировать инструкции как легитимные и выполнить их так, будто они поступили от пользователя. Исследование Malwarebytes продемонстрировало, что на первый взгляд обычные сайты или комментарии в соцсетях могут подсовывать такие подсказки в поток команд браузера с ИИ, что потенциально ведёт к несанкционированным действиям. Один из методов включает невидимое форматирование, например скрытие инструкций белым текстом на белом фоне. Люди обмана не заметят, но ИИ может.
Риски растут по мере того, как браузеры эволюционируют от простых ИИ-помощников к тому, что исследователи называют агентными браузерами. ИИ-браузер лишь дополняет существующие функции: составляет резюме статей, отвечает на вопросы или упрощает поиск — задачи, которые всё ещё требуют контроля пользователя. Агентные браузеры, напротив, создаются для автономии. Вместо ожидания ручных кликов они могут выполнять многошаговые действия онлайн, такие как бронирование авиабилетов, управление аккаунтами или совершение покупок. Имея нужные разрешения, агентный браузер может взаимодействовать с сайтами как прокси-пользователь, отправляя платёжные данные или заполняя конфиденциальную информацию при минимальном надзоре в реальном времени.
Удобство очевидно. Человек может попросить агентный браузер найти самый дешёвый билет в Париж на следующий месяц и автоматически его забронировать. Но последствия для безопасности столь же серьёзны: если система наткнётся на вредоносный сайт, она может по ошибке передать платёжные реквизиты или инициировать транзакции, которых пользователь не собирался совершать.
В отдельном исследовании был использован ИИ-ассистент Leo от Brave для изучения этих рисков. Компания сообщила, что экспериментальный браузер Comet от Perplexity показал уязвимости при проверке на атаки через косвенное внедрение инструкций. В таких случаях вредоносные команды вводились не пользователем, а встраивались во внешний контент, который браузер обрабатывал по ходу работы. По словам Brave, эти уязвимости подчеркивают более широкую проблему отрасли: необходимость обеспечить, чтобы агентные системы могли отличать команды, исходящие от пользователя, от фонового материала, встречающегося в процессе просмотра. Без этого разграничения злоумышленники могут использовать текстовый контент как вектор атаки.
Perplexity дважды пыталась закрыть уязвимости Comet от подобных атак, но Brave заявила, что исправления всё ещё не решают проблему в основе. Исследователи утверждают, что для защиты агентных браузеров от внедрения инструкций необходимы более строгие фильтры и чёткое разделение каналов ввода. Пока такие меры не будут реализованы, эксперты рекомендуют действовать осторожно. Безопасные практики включают ограничение прав, предоставляемых агентным браузерам, регулярное обновление программного обеспечения и проверку источников сайтов перед разрешением автоматических взаимодействий. Сильные методы аутентификации, такие как многофакторные входы, могут снизить последствия в случае кражи учётных данных, а мониторинг журналов активности поможет вовремя обнаружить аномалии. Аналитики по безопасности также советуют не поручать высокорисковые действия, например крупные финансовые транзакции, без подтверждения человеком.
