Chrome i Edge w niebezpieczeństwie. Bezmyślne AI daje się oszukać

Firma SquareX wydała ostrzeżenie dotyczące nowego rodzaju zagrożeń związanych z wykorzystaniem tzw. agentów AI w przeglądarkach internetowych. Problem dotyczy głównie użytkowników Google Chrome i Microsoft Edge, a skala ryzyka rośnie, ponieważ według danych aż 79% firm korzysta dziś z narzędzi opartych na sztucznej inteligencji zintegrowanych z przeglądarkami.

Kluczowym zagrożeniem jest to, że agenci AI wykonują polecenia automatycznie, bez świadomości kontekstu bezpieczeństwa. „Te systemy są uczone, by realizować zadania, ale nie potrafią rozpoznać zagrożeń, które mogłyby powstrzymać człowieka” - tłumaczą eksperci SquareX.

Agenci AI nie rozpoznają typowych sygnałów ostrzegawczych - jak podejrzane adresy URL, nietypowe prośby o uprawnienia czy niskiej jakości wygląd strony.

Ze względu na ogromną liczbę użytkowników Chrome, Google rekomenduje włączenie trybu „Bezpiecznego przeglądania”, a najlepiej jego rozszerzonej wersji, „Enhanced Protection”. Oferuje ona ochronę przed znanymi oraz nowymi zagrożeniami, ostrzegając przed niebezpiecznymi stronami, pobranymi plikami i rozszerzeniami, także tymi, których Google wcześniej nie znał.

Podobne funkcje są dostępne dla użytkowników przeglądarki Microsoft Edge. Eksperci podkreślają, że należy zawsze wybierać najwyższy możliwy poziom zabezpieczeń w ustawieniach przeglądarki, zwłaszcza przy użyciu narzędzi opartych na AI.

Przeglądarki działają jak otwarte drzwi dla hakerów

Szczególnie niepokojące jest to, że agenci AI nie rozpoznają typowych sygnałów ostrzegawczych - jak podejrzane adresy URL, nietypowe prośby o uprawnienia czy niskiej jakości wygląd strony. SquareX zauważa, że AI może nawet częściej paść ofiarą ataku niż przeciętny użytkownik.

Google rekomenduje włączenie trybu „Bezpiecznego przeglądania”, a najlepiej jego rozszerzonej wersji, „Enhanced Protection”.

W jednym z testów agent AI, wykonując polecenie rejestracji w narzędziu do udostępniania plików, dał pełny dostęp do e-maila fałszywej aplikacji w wyniku ataku phishingowego przez OAuth. „Dopóki nie pojawią się solidne mechanizmy zabezpieczające przeglądarki, jedyną skuteczną ochroną pozostaje ostrożność” - podsumowuje Vivek Ramachandran z SquareX.