Navegadores com inteligência artificial, como o Atlas da OpenAI e o Comet da Perplexity, prometem conveniência. Mas trazem consigo grandes riscos de segurança cibernética, criando um novo campo fértil para hackers.
Navegadores web com inteligência artificial competem com navegadores tradicionais como o Google Chrome e o Brave, visandotracbilhões de usuários diários da internet.
Há alguns dias, a OpenAI lançou o Atlas, enquanto o Comet, da Perplexity, já está disponível há meses. Navegadores com inteligência artificial conseguem digitar e clicar em páginas. Os usuários podem instruí-los a reservar um voo, resumir e-mails ou até mesmo preencher um formulário.
Basicamente, os navegadores com inteligência artificial são projetados para funcionar como assistentes digitais e navegar na web de forma autônoma. Eles estão sendo considerados o próximo grande salto em produtividade online.
Pesquisadores de segurança apontam falhas em navegadores de IA
Mas a maioria dos consumidores desconhece os riscos de segurança associados ao uso de navegadores com IA. Esses navegadores são vulneráveis a ataques sofisticados por meio de um novo fenômeno chamado injeção de prompt.
Os hackers podem explorar navegadores web com inteligência artificial, obter acesso às sessões de usuários logados e realizar ações não autorizadas. Por exemplo, podem acessar e-mails, contas de redes sociais ou até mesmo visualizar dados bancários e movimentar fundos.
De acordo com uma pesquisa da Brave, hackers podem inserir instruções ocultas em páginas da web ou até mesmo em imagens. Quando um agente de IA analisa esse conteúdo e encontra as instruções ocultas, ele pode ser enganado e executá-las como se fossem comandos legítimos do usuário. Navegadores web com IA não conseguem diferenciar entre instruções genuínas e falsas.
da Brave experimentaram o Comet da Perplexity e testaram sua reação à injeção de prompts. Descobriu-se que o Comet processa textos invisíveis ocultos em capturas de tela. Essa abordagem permite que invasores controlem ferramentas de navegação e extraiam trac do usuário com facilidade.
Os engenheiros da Brave classificaram essas vulnerabilidades como um "desafio sistêmico que afeta toda a categoria de navegadores com inteligência artificial"
A injeção imediata é difícil de corrigir
Pesquisadores e engenheiros de segurança afirmam que a injeção de prompts é difícil de corrigir. Isso ocorre porque os modelos de inteligência artificial não entendem de onde vêm as instruções. Eles não conseguem diferenciar entre prompts genuínos e falsos.
O software tradicional consegue diferenciar entre entradas seguras e código malicioso, mas os grandes modelos de linguagem (LLMs) têm dificuldades com isso. Os LLMs processam tudo, incluindo solicitações de usuários, textos de sites e até mesmo dados ocultos, tratando tudo como uma grande conversa.
É por isso que a injeção de instruções instantâneas é perigosa. Os hackers podem facilmente ocultar instruções falsas em conteúdo que parece seguro e roubar informações confidenciais.
Empresas de IA admitem que a injeção imediata é uma ameaça séria
A Perplexity afirmou que esses ataques não dependem de código ou senhas roubadas, mas sim da manipulação do "processo de raciocínio" da IA. A empresa construiu múltiplas camadas de defesa em torno do Comet para impedir ataques de injeção de prompts. Ele utiliza modelos de aprendizado de máquina que detectam ameaças em tempo real e integra avisos de segurança que mantêm a IA focada na intenção do usuário. Além disso, o navegador exige confirmação obrigatória do usuário para ações sensíveis, como enviar um e-mail ou comprar um item.
Pesquisadores de segurança acreditam que navegadores com inteligência artificial não devem ser usados para acessar contas sensíveis ou dados pessoais até que melhorias significativas sejam implementadas. Os usuários ainda podem utilizar navegadores com IA, mas sem acesso a ferramentas, com ações automatizadas desativadas, e devem evitar usá-los ao acessar contas bancárias, e-mails ou aplicativos de saúde.
O Diretor de Segurança da Informação (CISO) da OpenAI, Dane Stuckey, reconheceu os perigos da injeção imediata e escreveu no X: "Um risco emergente que estamos pesquisando e mitigando com muita atenção são as injeções imediatas, em que os atacantes escondem instruções maliciosas em sites, e-mails ou outras fontes para tentar enganar o agente e fazê-lo se comportar de maneiras não intencionais."
Ele explicou que o objetivo da OpenAI é fazer com que as pessoas “confiem nos agentes do ChatGPT para usar seu navegador, da mesma forma que confiariam em seu colega ou amigo mais competente, confiável e preocupado com a segurança”. Stuckey disse que a equipe da OpenAI está “trabalhando arduamente para alcançar esse objetivo”
