Браузер Comet AI от Perplexity обманным путём заставили покупать поддельные товары онлайн

Исследование, посвящённое браузерам с агентным ИИ, показало ^[1], что новые инструменты уязвимы как для новых, так и для старых схем атак. Так, ИИ-браузер Comet ^[2] от Perplexity оказался уязвим для фишинга, внедрения вредоносных подсказок и покупок в поддельных магазинах.

Браузеры с агентным ИИ могут автономно просматривать веб-страницы, совершать покупки и выполнять различные онлайн-задачи (например, обрабатывать электронную почту, бронировать билеты, заполнять формы).

В настоящее время основным примером таких браузеров выступает именно Comet. Microsoft Edge также внедряет подобные функции через интеграцию с Copilot, а OpenAI разрабатывает собственную платформу под кодовым названием «Aura».

Хотя эти инструменты в настоящее время ориентированы на технологических энтузиастов и первых пользователей, Comet быстро проникает на массовый потребительский рынок.

Согласно недавнему исследованию разработчика браузерных расширений для защиты от онлайн-угроз Guardio, Comet был выпущен с недостаточными мерами безопасности.

В одном из тестов он попросил Comet купить часы Apple Watch, находясь на поддельном сайте Walmart, созданном исследователями с помощью сервиса Lovable. Модель сканировала сайт, не проверяя его легитимность, переходила к оформлению заказа и автоматически заполняла данные кредитной карты и адреса, завершая покупку без запроса подтверждения со стороны пользователя. 

Во втором тесте Guardio создал поддельное письмо Wells Fargo, отправленное с адреса ProtonMail, со ссылкой на реальную, активную фишинговую страницу. Comet воспринял входящее сообщение как подлинную инструкцию от банка, нажал на фишинговую ссылку, загрузил фишинговую страницу входа в Wells Fargo и предложил пользователю ввести учётные данные. 

Наконец, Guardio протестировал сценарий внедрения вредоносной подсказки с использованием поддельной страницы CAPTCHA, скрывающей инструкции для агента ИИ, встроенного в исходный код браузера. Comet интерпретировал скрытые инструкции как допустимые команды и нажал кнопку «CAPTCHA», запуская загрузку вредоносного файла. 

Guardio подчёркивает, что тесты лишь поверхностно отражают сложности безопасности, возникающие в связи с появлением браузеров с ИИ-агентами. Ожидается, что новые угрозы заменят стандартные модели атак, ориентированные на человека.

«В эпоху противостояния ИИ мошенникам не нужно обманывать миллионы разных людей; им достаточно взломать одну модель ИИ. После успеха один и тот же эксплойт можно масштабировать бесконечно. А поскольку у них есть доступ к тем же моделям, они могут “тренировать” свою вредоносную версию против ИИ жертвы, пока мошенничество не сработает безупречно», — говорит Guardio.

Пока же исследователь рекомендует не поручать таким браузерам конфиденциальные задачи, в том числе банковские операции, покупки или доступ к учётным записям электронной почты. Кроме того, пользователям следует избегать предоставления агентам ИИ учётных данных, финансовых данных или личной информации, а вместо этого вводить информацию вручную.

Perplexity представила ^[3] ИИ-браузер Comet в июле. Он объединяет возможности фирменного поисковика и умного ассистента. На старте он доступен только подписчикам Perplexity Max и приглашённым пользователям из списка ожидания.

Позднее компания представила ^[4] инструмент Comet Shortcuts, который позволяет автоматизировать повторяющиеся веб-задачи с помощью простых команд на естественном языке.

В августе стартап предложил ^[5] Google $34,5 млрд за браузер Chrome. В случае успеха сделки компания обещает вложить в развитие браузера $3 млрд за два года, оставить исходный код Chromium открытым и не менять Google как поиск по умолчанию.