Браузерные агенты под угрозой: 30 уязвимостей угрожают конфиденциальности

По данным Helpnetsecurity, новое исследование академиков выявило значительные риски для конфиденциальности, связанные с использованием браузерных агентов — программ, которые автоматически выполняют задачи в интернете, такие как покупки, бронирование и управление аккаунтами. В рамках анализа было изучено восемь популярных агентов, включая ChatGPT Agent, Google Project Mariner, Amazon Nova Act, Perplexity Comet, Browserbase Director, Browser Use, Claude Computer Use и Claude for Chrome. Всего было выявлено 30 уязвимостей, из которых каждая из оцениваемых систем содержала хотя бы одну.

Архитектурные уязвимости и управление данными

Исследователи оценивали риски, связанные с компонентами, на которых работает каждый агент: браузером и моделью искусственного интеллекта, а также тем, как эти компоненты взаимодействуют. Всего было выявлено восемь архитектурных проблем. Основной риск связан с тем, что семь из восьми агентов используют модели ИИ, работающие на серверах, а не на устройстве пользователя. Это означает, что детали веб-сессии, включая содержимое посещённых страниц, передаются на серверы провайдера.

Когда модель ИИ работает удалённо, пользователь теряет контроль над тем, как обрабатываются и хранятся его данные. Хотя некоторые сервисы публикуют ограничения на использование информации, пользователи вынуждены доверять политикам провайдера.

Другой важный аспект — возраст используемых браузеров. Браузеры регулярно обновляются для устранения уязвимостей. В ходе тестов один агент работал с версией браузера, устаревшей на 16 основных обновлений. Такая конфигурация делает устройство уязвимым для атак через вредоносные веб-сайты.

Защита от вредоносных сайтов

Браузеры защищают пользователей, предупреждая о вредоносных сайтах. Однако агенты часто игнорируют такие проверки, что привело к восьми уязвимостям. Наиболее распространённая проблема — отсутствие предупреждений о сайтах, отмеченных как фишинговые или содержащие вредоносное ПО. Шесть из восьми агентов не отображали никаких предупреждений при переходе на тестовую фишинговую страницу.

В таких случаях агент либо продолжал выполнение задачи без предупреждения, либо не указывал на опасность сайта. Это создаёт риск, что пользователь будет приглашён ввести конфиденциальные данные, например, логин и пароль, на вредоносной странице.

Дополнительная проблема касается обработки сертификатов TLS. Два агента не предупреждали о недействительных сертификатах, один — о просроченных и самоподписанных. Доверие к соединениям с некорректными сертификатами делает агентов уязвимыми для атак типа «человек посередине», при которых злоумышленники могут перехватывать или изменять передаваемые данные.

Уязвимости в защите от cross-site tracking

Браузерные агенты также ослабляют защиту от cross-site tracking — метода, с помощью которого компании собирают данные о поведении пользователя на разных сайтах. В этой области было выявлено три уязвимости. Один из способов борьбы с этим — разделение хранилища данных между сайтами. Однако два агента не соблюдали это правило в полной мере, оставляя пользователей более уязвимыми к отслеживанию, чем при использовании стандартного браузера.

Другой аспект — хранение профильных данных. Четыре агента по умолчанию сохраняли информацию о пользователе. Один из них даже не информировал о сохранении данных и не позволял их удалить. Это делает невозможным очистку идентифицирующей информации, которую можно использовать для повторного отслеживания.

Один инструмент снизил риски, интегрировав библиотеку для блокировки аналитики и отслеживания ошибок.

Интересно: Какие меры по защите конфиденциальности способны эффективно сдержать утечку данных, если автоматизация становится неотъемлемой частью цифрового взаимодействия?

i

Создано специально для ASECTOR

Концептуальное изображение

Когда автоматизация становится риском: браузерные агенты и конфиденциальность

Браузерные агенты, использующие искусственный интеллект, всё чаще становятся частью цифровой жизни пользователей. Они обещают удобство: автоматизируют рутинные задачи, заполняют формы, совершают покупки, управляют аккаунтами. Однако за этим удобством скрывается важная проблема — контроль над данными пользователя. Новое исследование показывает, что большинство агентов не только не защищают данные, но, наоборот, делают их более уязвимыми.

Когда ИИ работает не у вас дома

Все агенты, кроме одного, используют модели искусственного интеллекта, работающие на серверах, а не на устройстве пользователя. Это означает, что любые действия, которые агент выполняет в браузере, включая просмотр страниц и ввод данных, отправляются на сервер.

Пользователь не может точно знать, как эти данные обрабатываются. Многие сервисы публикуют политики конфиденциальности, но эти документы не являются гарантией безопасности. Они являются договорённостями, а не техническими ограничениями. Если модель ИИ находится в облаке, она может быть доступна и другим — сотрудникам компании, государственным органам или, в худшем случае, хакерам.

Крупные ИИ-компании используют данные пользовательских диалогов для тренировки моделей, что может включать конфиденциальную информацию [!]. Отсутствие обязательных правил регулирует обработку и повторное использование таких данных, что делает невозможным контроль их дальнейшего применения. Риски повышаются, так как компании не удаляют личную информацию перед повторным применением, а чат-боты способны запоминать и воспроизводить данные. Это создаёт потенциал для утечки информации и нарушения приватности.

Важный нюанс: Удобство автоматизации часто требует жертв. В данном случае — это утрата контроля над личными данными.

Браузер как «слабое звено» в цепочке безопасности

Браузеры регулярно обновляются, чтобы устранить уязвимости. Однако исследователи обнаружили, что один из агентов работал с версией браузера, устаревшей на 16 обновлений. Это делает устройство пользователя уязвимым для атак, которые уже давно были исправлены.

Кроме того, агенты часто игнорируют встроенные механизмы безопасности браузера. Например, при переходе на фишинговый сайт они не предупреждают пользователя. В худшем случае агент продолжает выполнение задачи, несмотря на риск. Это создаёт очень реальную угрозу утечки логина и пароля.

Рост популярности AI-чат-ботов в личной и профессиональной среде приводит к увеличению рисков утечки конфиденциальной информации, поскольку данные пользователей сохраняются в облачных системах с неясными политиками хранения и обработки [!]. В 2024 году число утечек через генеративные модели достигло рекордного уровня, особенно в финансовой, медицинской и юридической сферах, где сотрудники передавали внутренние данные в публичные сервисы, обходя корпоративные системы безопасности.

Утечка данных через cross-site tracking

Ещё одна проблема — отслеживание поведения пользователя на разных сайтах. Некоторые агенты не соблюдают правила разделения данных между сайтами, что позволяет рекламным сетям и аналитическим платформам собирать больше информации.

Кроме того, четыре агента по умолчанию сохраняют данные пользователя, а один из них — не даёт пользователю удалить их. Это создаёт возможность для повторного идентификации, даже если пользователь попытается очистить историю.

Важный нюанс: Современные технологии автоматизации не только не защищают конфиденциальность, но и расширяют возможности для её нарушения.

Политики конфиденциальности: больше слов, меньше прозрачности

Политики конфиденциальности крупных языковых моделей выросли в объёме на 53% по сравнению с политиками программного обеспечения 2019 года, достигнув в среднем 3 346 слов [!]. Их сложность соответствует университетскому уровню, а неопределённые формулировки и множественные условия затрудняют понимание пользователю, как именно обрабатываются данные. Это снижает прозрачность и делает сложным принятие осознанных решений о том, как пользователь может контролировать свою информацию.

Что дальше: риски и решения

Это исследование показывает, что браузерные агенты — это не только удобный инструмент, но и новый вектор атак. Особенно рискованно их использование в условиях, где данные пользователя чувствительны: финансовые транзакции, медицинская информация, переписка.

Для минимизации рисков ключевым становится выбор агентов, которые:

• используют локальные модели ИИ;
• работают с актуальными версиями браузеров;
• соблюдают политики конфиденциальности и предоставляют контроль над данными;
• не игнорируют встроенные механизмы безопасности браузера.

Mozilla внедрила в Firefox опцию выбора AI-поисковой системы Perplexity, которая не продает персональные данные пользователей [!]. Это решение соответствует стратегии компании по усилению конфиденциальности, так как Perplexity отказывается от сбора и продажи информации в отличие от традиционных провайдеров. Пользователи могут активировать Perplexity через адресную строку, получая синтезированные ответы с цитированием источников, что минимизирует риск утечки данных.

Заключение

Браузерные агенты — это шаг в сторону автоматизации, но он не бесплатен. За удобством скрывается потеря контроля, которую пользователь может не заметить. Особенно это касается тех, кто использует такие агенты в коммерческих или профессиональных целях.

Технологии развиваются быстро, но безопасность — это не функция, которую можно добавить в последнюю очередь. Она — фундамент, на котором должна строиться любая автоматизация.