AI böngészőt használsz? Ilyen egyszerű ellopni az adataidat!
Hírek - 2025. október 24.
Nagyon komoly, felfokozott várakozás előzte meg az AI-k beépülését a böngészőkbe. Ráadásul most már ún. 'agentic' Ai-k vannak, amelyek nem csak javasolnak, segítenek, hanem ténylegesen kiviteleznek feladatokat. Egy ilyen lehet például, hogy találunk egy fantasztikus kis rusztikus faházat a Tátrában, és szeretnénk lefoglalni egy oldalon. Most már megtehetjük azt, hogy kiválgjuk képmetszővel a nagyon jó áron megtalált faházat, feltesszünk az AI böngészőnek a képet, és ő az általunk kért időpontra már le is foglalja a szállást. MIcsoda fantasztikus fejlesztés, végre aktívan is tud segíteni az AI a mindennapjainkban, mi mehet itt félre? Nos, elég sok minden, jelenleg egy hallatlanul egyszerű módszerrel akár a teljes bankszámlánkat kipucolhatják - még csak nem is hackerek, mert még annak sem kell lenni ehhez. Legyünk óvatosak! A lapozás után részletese elmeséljük, hogy zajlik a csalás.
Rövid összefoglaló: veszélyes „rejtett” parancsok az akcióképes (agentic) AI-böngészőkben
Nemrégiben megjelent kutatási beszámoló folytatásaként a szerzők további biztonsági hiányosságokra bukkantak az ún. agentic — azaz felhasználó helyett cselekvő — mesterséges intelligenciával felszerelt böngészők területén. Megállapításuk röviden: a prompt-injekció (amikor egy támadó a modell számára álcázott utasítást juttat el) nem ritka, elszigetelt hiba, hanem rendszerszintű probléma ezeknél az eszközöknél. Egy további sérülékenységet átmenetileg nem tettek közzé — erről részletesen később számolnak be —, de a nyilvános példák már jól szemléltetik a kockázatokat.
Mire figyeljünk? Két mutatott támadási vektor
- Kép-alapú prompt-injekció (Perplexity Comet)
A Comet funkciója lehetővé teszi oldalakról készített képernyőképek elemzését. A kutatók azt mutatták be, hogy egy támadó majdnem láthatatlan, képre helyezett szöveggel („halvány kék a sárga háttéren”) utasítást csempészhet be. A böngésző szövegfelismerő folyamata ezt a szöveget a felhasználó kérdésével együtt a nyelvi modellhez továbbítja, anélkül hogy megkülönböztetné: ez a rejtett utasítás parancsként érvényesülhet — például a böngésző eszközeinek visszaélésszerű használatára utasítva az AI-t. Vagyis a puszta képernyőkép-kérés is lehet támadásindító esemény.
- Weboldal-navigáción keresztüli injekció (Fellou browser)
A Fellou-val kapcsolatban a kutatók azt találták, hogy bár részben ellenáll a „láthatatlan” instrukcióknak, mégis problémás, hogy a böngésző a meglátogatott weboldalak látható tartalmát implicit módon megbízható bemenetként kezeli. Tehát ha a felhasználó megkéri az asszisztenst, hogy nyisson meg vagy összegezzen egy adott weboldalt, a böngésző elküldi az oldal tartalmát a LLM-nek — és ez a weboldal szövege képes felülírni vagy módosítani a felhasználó eredeti szándékát, így a támadó látható utasításokkal is rosszindulatú tevékenységre bízhatja az AI-t.
Mi a következmény? Miért veszélyes ez mindenkire nézve?
Az agentic böngészők ereje egyben sebezhetősége is: ha a böngészőben be vagyunk jelentkezve érzékeny fiókokba (bank, e-mail), akkor egy egyszerű weboldal-összegzés vagy képernyőkép-kérés révén potenciálisan személyes adatokhoz, vagy akár pénzösszeghez férhet hozzá egy támadó által manipulált AI. A jelenség azt mutatja, hogy a hagyományos, csak szöveges bemenetekre koncentráló szűrés nem elég.
Záró gondolat
Az eredmények figyelmeztetnek: az AI-vezérelt böngészők kényelmesek, de új típusú támadási felületeket nyitnak. Felhasználóként és fejlesztőként egyaránt kritikus a gyanakvás, a rendszerszintű védelmi rétegek bevezetése (OCR-szöveg hitelesítése, weboldal tartalom elszeparálása, „trusted vs untrusted” jelölés), valamint a gyártók részéről a gyors javítás és átlátható kommunikáció.
A cikk AI segítségével készült, az eredeti cikk forrása ITT TALÁLHATÓ .
