Los navegadores con IA son el próximo gran objetivo de los piratas informáticos

Los navegadores de IA como Atlas de OpenAI y Comet de Perplexity prometen comodidad. Pero conllevan importantes riesgos de ciberseguridad, creando un nuevo terreno de juego para los hackers.

Los navegadores web impulsados ​​por IA compiten con navegadores tradicionales como Google Chrome y Brave, con el objetivo detraca miles de millones de usuarios diarios de Internet.

Hace unos días, OpenAI lanzó Atlas, mientras que Comet, de Perplexity, ya lleva meses en el mercado. Los navegadores con IA pueden escribir y navegar por las páginas. Los usuarios pueden pedirle que reserve un vuelo, resuma correos electrónicos o incluso complete un formulario.

Básicamente, los navegadores con IA están diseñados para actuar como asistentes digitales y navegar por la web de forma autónoma. Se consideran el próximo gran salto en productividad en línea.

Investigadores de seguridad señalan fallas en los navegadores con inteligencia artificial

Sin embargo, la mayoría de los consumidores desconocen los riesgos de seguridad que conlleva el uso de navegadores con IA. Estos navegadores son vulnerables a ataques sofisticados mediante un nuevo fenómeno llamado inyección de avisos.

Los hackers pueden explotar navegadores web con inteligencia artificial, acceder a las sesiones iniciadas de los usuarios y realizar acciones no autorizadas. Por ejemplo, pueden acceder a correos electrónicos, cuentas de redes sociales o incluso ver datos bancarios y transferir fondos.

Según una investigación de Brave, los hackers pueden insertar instrucciones ocultas en páginas web o incluso imágenes. Cuando un agente de IA analiza este contenido y detecta las instrucciones ocultas, puede ser engañado para que las ejecute como si fueran comandos de usuario legítimos. Los navegadores web con IA no pueden distinguir entre instrucciones de usuario auténticas y falsas.

valientes experimentó con Comet de Perplexity y probó su reacción a la inyección de mensajes. Se descubrió que Comet procesa texto invisible oculto en capturas de pantalla. Este método permite a los atacantes controlar las herramientas de navegación y extraertracde usuario con facilidad.

Los ingenieros de Brave llamaron a estas vulnerabilidades un “desafío sistémico que enfrenta toda la categoría de navegadores impulsados ​​por IA”

La inyección rápida es difícil de solucionar

Los investigadores e ingenieros de seguridad afirman que la inyección de indicaciones es difícil de solucionar. Esto se debe a que los modelos de inteligencia artificial no comprenden el origen de las instrucciones. No pueden diferenciar entre indicaciones auténticas y falsas.

El software tradicional puede distinguir entre una entrada segura y un código malicioso, pero los modelos de lenguaje grandes (LLM) tienen dificultades para hacerlo. Los LLM procesan todo, incluidas las solicitudes de los usuarios, el texto del sitio web e incluso los datos ocultos, y lo tratan como una sola conversación.

Por eso la inyección rápida es peligrosa. Los hackers pueden ocultar fácilmente instrucciones falsas dentro de contenido aparentemente seguro y robar información confidencial.

Las empresas de IA admiten que la inyección rápida es una amenaza grave

Perplexity afirmó que estos ataques no se basan en código ni contraseñas robadas, sino que manipulan el proceso de razonamiento de la IA. La compañía implementó múltiples capas de defensa en Comet para detener los ataques de inyección de mensajes. Utiliza modelos de aprendizaje automático que detectan amenazas en tiempo real y ha integrado mensajes de seguridad que mantienen a la IA enfocada en la intención del usuario. Además, el navegador requiere confirmación obligatoria del usuario para acciones delicadas como enviar un correo electrónico o comprar un artículo.

Los investigadores de seguridad creen a los navegadores con IA hasta que se implementen mejoras importantes. Los usuarios pueden seguir utilizando navegadores web con IA, pero sin acceso a herramientas, acciones automatizadas deshabilitadas y deben evitar su uso al iniciar sesión en cuentas bancarias, correos electrónicos o aplicaciones de atención médica.

El director de seguridad de la información (CISO) de OpenAI, Dane Stuckey, reconoció los peligros de la inyección rápida y escribió en X: "Un riesgo emergente que estamos investigando y mitigando con mucha atención son las inyecciones rápidas, en las que los atacantes ocultan instrucciones maliciosas en sitios web, correos electrónicos u otras fuentes para intentar engañar al agente y que se comporte de maneras no deseadas".

Explicó que el objetivo de OpenAI es que las personas confíen en los agentes de ChatGPT para usar su navegador, de la misma manera que confiarían en su colega o amigo más competente, confiable y consciente de la seguridad. Stuckey afirmó que el equipo de OpenAI está trabajando arduamente para lograrlo