Los navegadores de IA como Atlas de OpenAI y Comet de Perplexity prometen comodidad. Sin embargo, conllevan importantes riesgos de ciberseguridad, lo que crea un nuevo terreno de juego para los hackers.
Los navegadores web impulsados por IA compiten con navegadores tradicionales como Google Chrome y Brave, con el objetivo detraca miles de millones de usuarios diarios de Internet.
Hace unos días, OpenAI lanzó Atlas, mientras que Comet, de Perplexity, ya lleva meses en el mercado. Los navegadores con IA pueden escribir y navegar por las páginas. Los usuarios pueden pedirle que reserve un vuelo, resuma correos electrónicos o incluso complete un formulario.
Básicamente, los navegadores con IA están diseñados para actuar como asistentes digitales y navegar por la web de forma autónoma. Se consideran el próximo gran salto en productividad en línea.
Investigadores de seguridad señalan fallas en los navegadores con inteligencia artificial
Sin embargo, la mayoría de los consumidores desconocen los riesgos de seguridad que conlleva el uso de navegadores con IA. Estos navegadores son vulnerables a ataques sofisticados mediante un nuevo fenómeno llamado inyección de avisos.
Los hackers pueden explotar navegadores web con inteligencia artificial, acceder a las sesiones iniciadas de los usuarios y realizar acciones no autorizadas. Por ejemplo, pueden acceder a correos electrónicos, cuentas de redes sociales o incluso ver datos bancarios y transferir fondos.
Según una investigación de Brave, los hackers pueden insertar instrucciones ocultas en páginas web o incluso imágenes. Cuando un agente de IA analiza este contenido y detecta las instrucciones ocultas, puede ser engañado para que las ejecute como si fueran comandos de usuario legítimos. Los navegadores web con IA no pueden distinguir entre instrucciones de usuario auténticas y falsas.
de Brave experimentaron con Comet de Perplexity y probaron su reacción a la inyección de mensajes. Se descubrió que Comet procesaba texto invisible oculto en capturas de pantalla. Este enfoque permite a los atacantes controlar las herramientas de navegación y extraer trac del usuario con facilidad.
Los ingenieros de Brave llamaron a estas vulnerabilidades un “desafío sistémico que enfrenta toda la categoría de navegadores impulsados por IA”
La inyección rápida es difícil de solucionar
Los investigadores e ingenieros de seguridad afirman que la inyección de indicaciones es difícil de solucionar. Esto se debe a que los modelos de inteligencia artificial no comprenden el origen de las instrucciones. No pueden diferenciar entre indicaciones auténticas y falsas.
El software tradicional puede distinguir entre una entrada segura y un código malicioso, pero los modelos de lenguaje grandes (LLM) tienen dificultades para hacerlo. Los LLM procesan todo, incluidas las solicitudes de los usuarios, el texto del sitio web e incluso los datos ocultos, y lo tratan como una sola conversación.
Por eso la inyección rápida es peligrosa. Los hackers pueden ocultar fácilmente instrucciones falsas dentro de contenido aparentemente seguro y robar información confidencial.
Las empresas de IA admiten que la inyección rápida es una amenaza grave
Perplexity afirmó que estos ataques no se basan en código ni en contraseñas robadas, sino que manipulan el proceso de pensamiento de la IA. La compañía construyó múltiples capas de defensa alrededor de Comet para detener los ataques de inyección de mensajes. Utiliza modelos de aprendizaje automático que detectan amenazas en tiempo real y cuenta con avisos de seguridad integrados que mantienen a la IA enfocada en la intención del usuario. Además, el navegador requiere la confirmación obligatoria del usuario para acciones sensibles como enviar un correo electrónico o comprar un artículo.
Los investigadores de seguridad creen a los navegadores con IA hasta que se implementen mejoras importantes. Los usuarios pueden seguir utilizando navegadores web con IA, pero sin acceso a herramientas, acciones automatizadas deshabilitadas y deben evitar su uso al iniciar sesión en cuentas bancarias, correos electrónicos o aplicaciones de atención médica.
El director de seguridad de la información (CISO) de OpenAI, Dane Stuckey, reconoció los peligros de la inyección rápida y escribió en X: “Un riesgo emergente que estamos investigando y mitigando cuidadosamente son las inyecciones rápidas, donde los atacantes ocultan instrucciones maliciosas en sitios web, correos electrónicos u otras fuentes para intentar engañar al agente para que se comporte de manera no deseada”.
Explicó que el objetivo de OpenAI es que las personas confíen en los agentes de ChatGPT para usar su navegador, de la misma manera que confiarían en su colega o amigo más competente, confiable y consciente de la seguridad. Stuckey afirmó que el equipo de OpenAI está trabajando arduamente para lograrlo
