Support 24/7: +48 61 646 07 77
Dążenie do tego, by do najżmudniejszych i najnudniejszych prac zaprząc technologię jest kierunkiem jak najbardziej pożądanym i w znacznej mierze napędzającym światowy rozwój. Bez tego dążenia, najszybszym środkiem lokomocji wciąż byłyby dwukółki, a jedynym źródłem elektryczności – pioruny. Dlatego naturalną konsekwencją tego, że sztuczna inteligencja stała się częścią naszej codzienności, jest wykorzystanie jej w najczęściej używanych przez nas programach. Przeglądarki z wbudowanym agentem AI mają ogromny potencjał by stać się narzędziem, które pod wieloma względami zmieni nasze życie… Ale póki co, ich poziom bezpieczeństwa rodzi niemałe zastrzeżenia.
Z tego artykułu dowiesz się:
Zacznijmy może od tego, że samo AI, a właściwie wielkie modele językowe (LLM), które de facto z inteligencją w klasycznym rozumieniu nie mają zbyt wiele wspólnego, dla wielu branż wcale nie okazało się takie odciążające. Tuż po wielkim AI‑owym boomie, po sieci zaczęła krążyć wypowiedź podsumowująca odczucia wielu osób, zwłaszcza z branż kreatywnych – AI byłoby bardziej użyteczne, gdyby robiło pranie i zmywało naczynia, zamiast generować sztukę i pisać teksty.
Wkrótce po tym, generatywna sztuczna inteligencja zajęła się też pisaniem kodu, a czaty zaczęły skutecznie wycinać ruch w wyszukiwarkach. Oczywiście większość osób wiedziała, że AI lubi halucynować, ale stosunkowo niewiele z nich zastanawiało się nad bezpieczeństwem powierzanych agentom informacji. Czaty pisały umowy i podsumowania spraw sądowych, karmione były dokumentacją medyczną bez anonimizacji danych, podejmowały decyzje strategiczne za generałów armii… I dopiero kiedy część rozmów z ChatGPT wyciekła (a właściwie została zindeksowana w Google), niektórzy zorientowali się, że nie piszą w próżnię, a ich dane w najlepszym wypadku trafiają do właścicieli narzędzia, a w najgorszym – do przestępców.
W międzyczasie pojawił się jeszcze standard umożliwiający łączenie LLMów z zewnętrznymi narzędziami i danymi (MCP), który domyślnie nie wymagał absolutnie żadnej autentykacji. Niewątpliwie doczeka się on osobnego artykułu, ale ciężko było ominąć ten temat zarysowując tło dla rozwoju agentów AI. MCP niesie ze sobą zagrożenia, które dotyczą w równym stopniu przeglądarek AI – fakt połączenia agenta z narzędziem, które daje mu dostęp do prywatnych danych użytkownika.
Pierwsza wojna przeglądarek przypadła w okresie początków powszechnego dostępu do Internetu, czyli na koniec lat 90‑tych. Graczy było wtedy tylko dwóch – Netscape Navigator i Internet Explorer. Do zwycięstwa tego drugiego przyczyniła się rosnąca popularność Windowsa – Microsoft swoją przeglądarkę dostarczał za darmo razem z systemem operacyjnym.
Druga wojna odbyła się już w nowym milenium (w latach 2004‑2017), kiedy wciąż natywny dla Windowsa Internet Explorer najpierw musiał zmierzyć się z Firefoxem Mozilli, a następnie stawkę i tak przejął Chrome od Google’a. Okazało się, że bycie darmowym narzędziem nie jest już przewagą konkurencyjną i niemało użytkowników systemu operacyjnego Microsoftu zaczynało konfigurację komputera od pobrania zewnętrznej przeglądarki. IE był zresztą w tamtym okresie coraz wolniejszy i coraz słabiej zabezpieczony.
Obecnie mówi się o trzeciej wojnie przeglądarek, w której udział wciąż bierze Chrome (uzupełniony o Gemini AI), Perplexity Comet, Opera (która jest z nami od dawna, ale dotychczas była dość niszowa) oraz ChatGPT Atlas od OpenAI. Przeglądarek z wbudowanym czatem AI jest oczywiście więcej, ale te wymienione powyżej wskazywane są jako najpewniejsi pretendenci do zwycięstwa. To oczywiście nie oznacza, że ostatecznie stawki nie zbierze eksperymentalne Disco (od Google Labs), Dia (następca Arc), albo jakieś zupełnie nowe narzędzie, którego jeszcze nie poznaliśmy.
Niestety, nie pranie. Wprawdzie pojawiają się już smart pralki, lodówki i zmywarki, których producenci usiłują wymusić podłączanie ich do Internetu, ale wciąż spotyka się to ze sporym oporem użytkowników i na razie nie jest to standardowa praktyka.
Przeglądarka zintegrowana z agentem AI ma w zasadzie jedno podstawowe zadanie – zautomatyzować rzeczy, które robimy przez Internet. Poczynając od tego, co robi już sama wyszukiwarka Google’a, czyli podsumowywania zawartości artykułów, żeby użytkownik nie musiał przeklikiwać się przez kolejne strony, a kończąc (przynajmniej na razie) na zakupach ograniczających się do naciśnięcia jednego przycisku.
Jeszcze w zeszłym roku OpenAI wyposażyło swojego agenta w funkcję Instant Checkout, która ma za zadanie znacząco uprościć proces zakupowy. ChatGPT ma w tym scenariuszu zająć się zarówno płatnością, jak i przekazaniem sprzedawcy wszystkich danych potrzebnych do realizacji zamówienia. Oczywiście sklepy już zacierają ręce na myśl o większej ilości impulsywnych zakupów, ale może się to jeszcze odbić czkawką nawałnicy zwrotów. Jak faktycznie będzie, przekonamy się, kiedy funkcja wyjdzie poza konta płatne i stanie się dostępna dla większej ilości konsumentów.
Tak czy inaczej, mechanizm działania tej funkcji dość dobrze obrazuje, jak może wyglądać przyszłość samych przeglądarek. Wszak przez Internet nie tylko robimy zakupy (niektórzy nawet te codzienne), ale bookujemy wycieczki zagraniczne, bierzemy kredyty w banku, opłacamy rachunki, a nawet wysyłamy pisma do urzędów i składamy podpisy elektroniczne pod dokumentami. Czy chcielibyśmy, żeby te najbardziej uciążliwe rzeczy robiła za nas sztuczna inteligencja? No, może nie wszystkie… Ale każdy, kto choć raz przegapił termin płatności rachunku za prąd, raczej nie będzie oponował, żeby czynność tę zrzucić na asystenta AI.
A to wciąż nie wszystko, bo przecież przez Internet również pracujemy. Każdego ranka odkopujemy się z maili, czytamy artykuły branżowe, piszemy wiadomości do klientów, umawiamy spotkania, przesyłamy pliki, tworzymy kod i tak dalej. Z części tych zadań już teraz w znacznej mierze mogą nas odciążyć czaty AI (czy powinny, to już inna kwestia), ale wciąż pozostaje drobna niedogodność w postaci dostarczenia agentowi informacji, z których ma skorzystać, by daną czynność za nas wykonać.
Dlatego właśnie koncept implementacji sztucznej inteligencji w przeglądarce jest taki atrakcyjny. Przełączanie się między okienkami czy aplikacjami przestaje być częścią rzeczywistości użytkownika, bo agent jest integralną częścią przeglądarki. Uczy się naszych wyborów i reakcji nie z promptów, tylko z „obserwacji”. Uprawnienia, które mu dajemy nie opierają się na tym, co wpiszemy w okienko czatu, tylko na stałym dostępie do narzędzi takich jak Dysk Google, skrzynka mailowa i konta w banku. Agent AI może też wysyłać wiadomości do naszych znajomych i ma wgląd we wcześniejsze konwersacje. Słowem, asystent wbudowany w przeglądarkę staje się szpiegiem idealnym – takim którego użytkownik sam zaprosił do domu, a następnie oddał mu klucze i podał szyfr do sejfu.
I właśnie to jest główny problem z przeglądarkami AI. Ich zabezpieczenia są niewystarczające, a dostęp do danych – w zasadzie nieograniczony.
Ataki typu Prompt Injection to w zasadzie największy problem z jakim boryka się AI i eksperci bezpieczeństwa mają wątpliwości, czy kiedykolwiek uda się nań uodpornić modele LLM. Zagrożenia tego typu możemy podzielić na dwie grupy, czyli ataki bezpośrednie i pośrednie. Te pierwsze polegają na tym, że użytkownik sam wpisuje złośliwy prompt do agenta AI, więc możesz pomyśleć, że w przypadku przeglądarek nie musimy brać ich pod uwagę. Natomiast moim zdaniem, jeśli użytkownik samodzielnie wklei złośliwe komendy skopiowane z innego miejsca (nawet, gdy nie jest tego świadom), to wciąż możemy to traktować jako atak bezpośredni.
Przy tym przeklejenie złośliwego prompta nie jest wcale takie trudne, jak mogłoby się wydawać. Pamiętajmy o tym, że czaty mogą porozumiewać się nie tylko językiem naturalnym, ale również językami programowania. Jeśli użytkownik jest początkującym developerem i nie zrozumie kodu, który wkleił w okienko, lub zwyczajnie nie przyjrzy się wysyłanemu tekstowi i nie zauważy, że nie jest on tożsamy z kopiowanym fragmentem, może w ten sposób bezwiednie zaatakować swoją własną przeglądarkę.
Jednak nawet jeśli założymy, że mamy do czynienia z osobą w pełni świadomą zagrożeń związanych z przeklejaniem treści z Internetu do narzędzi opartych o sztuczną inteligencję, to w przypadku przeglądarek AI i tak nie uniknie ona niebezpieczeństwa w postaci ataków pośrednich. Ten wariant ataku polega na tym, że agent AI autonomicznie, a często również w sposób niewidoczny dla użytkownika, odczytuje złośliwy prompt z zewnętrznych źródeł, np. stron internetowych lub maili.
W przypadku czatów niewbudowanych w przeglądarkę, ataki na ich modele LLM już teraz skutkują rozpowszechnianiem malware’u, ale konsekwencje mogą sięgać też rzeczywistości poza Internetem. Mający i bez tego fatalną renomę Grok (czatbot oparty o xAI), został w grudniu przyłapany na tzw. doxxingu, czyli udostępnianiu adresów domowych użytkowników platformy X. Wprawdzie xAI nie słynie z wysokiego poziomu zabezpieczeń, ale odpowiednio dopasowany prompt może w podobny sposób wpłynąć na inne modele LLM. W końcu jeszcze nie tak dawno temu wystarczyło opowiedzieć czatowi smutną historię o zmarłej babci, żeby uzyskać szczegółową instrukcję budowy bomby.
Dlatego teraz wyobraźmy sobie, co może się stać, kiedy agent AI jest integralną częścią przeglądarki i skanując wiadomości w skrzynce mailowej użytkownika natknie się na niewidoczną dla człowieka komendę. I załóżmy, że tekst tej komendy nakazuje mu wyczyścić dysk Google, nie informując o tym jego właściciela. Cóż… właściwie nie musimy sobie tego wyobrażać, bo taki atak został już przeprowadzony przez badaczy testujących przeglądarkę Perplexity Comet. Co gorsza – prompt, który doprowadził do usunięcia plików z dysku był zawarty w zwykłym mailu, bez ukrytych treści.
Myślę, że widzisz już mniej więcej, jakie zagrożenia niesie za sobą połączenie niedostatecznie zabezpieczonego narzędzia opartego o AI z programem, którego używasz na co dzień do sprawdzania poczty, wpisywania spotkań w kalendarzu, przechowywania plików na dyskach chmurowych, robienia przelewów… No właśnie.
To jako wisienkę na torcie ataków Prompt Injection dorzucę jeszcze bezpośrednią komunikację między agentami AI. Ze wszystkich dostępnych metod przekazania czatowi złośliwych poleceń, ta jest potencjalnie najbardziej niebezpieczna. Dlaczego? Prompty ze stron www, maili i dokumentów tekstowych są w pewnym sensie permanentne. Oczywiście stronę można zaktualizować, a wiadomość lub dokument zmienić i wysłać ponownie, ale nie jest to działanie automatyczne i przede wszystkim osoba, która nas atakuje nie dostaje natychmiastowego feedbacku z informacją, co i dlaczego nie zadziałało.
Tymczasem tworząc złośliwego agenta AI i umieszczając go na stronie, haker nie tylko w pełni automatyzuje swój atak, bo de facto polega on na próbie sił AI vs AI. To, co potencjalnie może okazać się znacznie większym zagrożeniem w szerszej perspektywie, to dokładny zapis tych potyczek, dający przestępcom niespotykany dotąd wgląd w zabezpieczenia narzędzi i możliwości ich obejścia, przy równoczesnym pozyskaniu konkretnych danych dotyczących wersji przeglądarki i jej użytkownika. A to, rzecz jasna, otwiera całe spektrum możliwości dla tzw. wtórnych ataków, poczynając oczywiście od wysoko spersonalizowanego phishingu.
Ostatnia kwestia, o której warto wspomnieć w kontekście Prompt Injection, to narzędzia AI budujące narzędzia AI. OpenAI pochwaliło się, że większość Codexa, czyli agenta AI do tworzenia kodu, napisał sam Codex. Na tym etapie jest on wciąż traktowany jako „junior developer” i jego pracę sprawdzają ludzcy programiści. Ale wszystko zmierza do tego, by narzędzie stało się w pełni autonomiczne. A to, jak możesz się domyślić, otworzy przed hakerami zupełnie nowe pola eksploatacji.
Sztuczna inteligencja niesie ze sobą ogromny potencjał rozwoju wielu dziedzin i branż w stopniu, który na tym etapie ciężko nawet do końca określić. Niestety, obecny poziom zabezpieczeń komercyjnych agentów AI pozostawia wiele do życzenia, co wprost przekłada się na bezpieczeństwo korzystania z narzędzi takich, jak przeglądarki AI.
Mam ogromną nadzieję, że firmy technologiczne przyłożą się do kwestii zabezpieczeń i prywatności, co zmusi mnie do przepisania tego artykułu na nowo. Może i mnie przeglądarka AI mogłaby ułatwić życie. Ale dopóki poziom bezpieczeństwa samych czatów nie wzrośnie, to zdecydowanie odradzam korzystanie z przeglądarek AI do czegokolwiek oprócz zaspokojenia ciekawości. A i to z ogromną rozwagą.
![Bezpieczeństwo środowisk testowych [krótki poradnik dla DevOps/SysOps]](https://centuria.pl/wp-content/uploads/2022/09/07-12-bezpieczenstwo-srodowisk-424x228.jpg)
