Les navigateurs IA comme Atlas d'OpenAI et Comet de Perplexity promettent une grande facilité d'utilisation. Mais ils présentent des risques majeurs en matière de cybersécurité, créant un nouveau terrain de jeu pour les pirates informatiques.
Les navigateurs web basés sur l'IA concurrencent les navigateurs traditionnels comme Google Chrome et Brave, visant àtracdes milliards d'utilisateurs d'Internet chaque jour.
Il y a quelques jours, OpenAI a lancé Atlas, tandis que Comet de Perplexity est disponible depuis plusieurs mois. Les navigateurs dotés d'IA peuvent saisir du texte et naviguer sur les pages web. Les utilisateurs peuvent leur demander de réserver un vol, de résumer des courriels, voire de remplir un formulaire.
En résumé, les navigateurs dotés d'intelligence artificielle sont conçus pour fonctionner comme des assistants numériques et naviguer sur le web de manière autonome. Ils sont considérés comme la prochaine grande avancée en matière de productivité en ligne.
Des chercheurs en sécurité signalent des failles dans les navigateurs IA
Mais la plupart des consommateurs ignorent les risques de sécurité liés à l'utilisation des navigateurs basés sur l'IA. Ces navigateurs sont vulnérables à des piratages sophistiqués grâce à un nouveau phénomène appelé injection de prompt.
Les pirates informatiques peuvent exploiter les failles des navigateurs web dotés d'intelligence artificielle, accéder aux sessions des utilisateurs et effectuer des actions non autorisées. Par exemple, ils peuvent accéder aux courriels, aux comptes de réseaux sociaux, voire consulter les informations bancaires et effectuer des transferts de fonds.
D'après une étude de Brave, des pirates informatiques peuvent intégrer des instructions cachées dans des pages web, voire des images. Lorsqu'un agent d'IA analyse ce contenu et détecte ces instructions, il peut être amené à les exécuter comme s'il s'agissait de commandes légitimes d'utilisateurs. Les navigateurs web dotés d'IA sont incapables de distinguer les instructions authentiques des fausses.
de Brave ont mené des expériences avec Comet de Perplexity et testé sa réaction à l'injection de requêtes. Ils ont découvert que Comet était capable de traiter du texte invisible dissimulé dans des captures d'écran. Cette approche permet aux attaquants de contrôler les outils de navigation et d'extraire trac des données utilisateur.
Les ingénieurs de Brave ont qualifié ces vulnérabilités de « défi systémique auquel est confrontée toute la catégorie des navigateurs basés sur l'IA »
L'injection rapide est difficile à corriger
Les chercheurs et ingénieurs en sécurité affirment que l'injection d'invites est difficile à corriger. En effet, les modèles d'intelligence artificielle ne comprennent pas la provenance des instructions. Ils sont incapables de distinguer les invites légitimes des invites frauduleuses.
Les logiciels traditionnels peuvent faire la différence entre une entrée légitime et un code malveillant, contrairement aux grands modèles de langage (LLM) . Ces derniers traitent tout, y compris les requêtes des utilisateurs, le texte des sites web et même les données cachées, comme s'il s'agissait d'une seule et même conversation.
C’est pourquoi l’injection de prompts est dangereuse. Les pirates peuvent facilement dissimuler de fausses instructions dans un contenu d’apparence sûre et dérober des informations sensibles.
Les entreprises spécialisées dans l'IA admettent que l'injection rapide constitue une menace sérieuse
Perplexity a indiqué que ces attaques ne reposent ni sur du code ni sur des mots de passe volés, mais plutôt sur la manipulation du « processus de réflexion » de l'IA. L'entreprise a mis en place plusieurs niveaux de défense autour de Comet afin de contrer les attaques par injection de prompts. Elle utilise des modèles d'apprentissage automatique qui détectent les menaces en temps réel et a intégré des messages de sécurité qui permettent à l'IA de rester concentrée sur l'intention de l'utilisateur. De plus, le navigateur exige une confirmation obligatoire de l'utilisateur pour les actions sensibles telles que l'envoi d'un courriel ou l'achat d'un article.
Les experts en sécurité estiment que les navigateurs dotés d'intelligence artificielle ne devraient pas être utilisés pour accéder à des comptes sensibles ou à des données personnelles tant que des améliorations majeures n'auront pas été déployées. Les utilisateurs peuvent toujours utiliser ces navigateurs, mais sans accès aux outils, avec les actions automatisées désactivées, et il leur est conseillé d'éviter de les utiliser lorsqu'ils sont connectés à leurs comptes bancaires, à leur messagerie ou à des applications de santé.
Le responsable de la sécurité des systèmes d'information (RSSI) d'OpenAI, Dane Stuckey, a reconnu les dangers de l'injection rapide et a écrit sur X : « L'un des risques émergents que nous étudions et atténuons avec beaucoup d'attention est l'injection rapide, où les attaquants dissimulent des instructions malveillantes dans des sites Web, des courriels ou d'autres sources pour tenter de tromper l'agent et de le faire se comporter de manière inattendue. »
Il a expliqué que l'objectif d'OpenAI est de permettre aux utilisateurs de « faire confiance aux agents ChatGPT pour utiliser leur navigateur, de la même manière qu'ils feraient confiance à leur collègue ou ami le plus compétent, digne de confiance et sensibilisé à la sécurité ». Stuckey a ajouté que l'équipe d'OpenAI « travaille d'arrache-pied pour y parvenir »
