Brave reveló vulnerabilidades de seguridad en los navegadores de IA que podrían permitir que sitios web maliciosos secuestraran asistentes de IA y accedieran a cuentas de usuarios confidenciales.
Los problemas afectan a Perplexity Comet, Fellou y potencialmente a otros navegadores de IA que pueden realizar acciones en nombre de los usuarios.
Las vulnerabilidades provienen de ataques indirectos de inyección rápida en los que los sitios web incorporan instrucciones ocultas que los navegadores de IA procesan como comandos de usuario legítimos. Brave publicó los hallazgos después de informar los problemas a las empresas afectadas.
Lo que los valientes encontraron
Vulnerabilidad del cometa de perplejidad
La función de captura de pantalla de Comet se puede aprovechar incorporando texto casi invisible en las páginas web.
Cuando los usuarios toman capturas de pantalla para hacer preguntas, la IA extrae texto oculto usando lo que parece ser OCR y lo procesa como comandos en lugar de contenido que no es de confianza.
Brave notes Comet no es de código abierto, por lo que este comportamiento se infiere y no se puede verificar a partir del código fuente.
Las instrucciones ocultas utilizan colores tenues que los humanos apenas pueden ver, pero que los sistemas de inteligencia artificial extraen y ejecutan. Esto permite a los atacantes emitir comandos al asistente de IA sin el conocimiento del usuario.
Vulnerabilidad de navegación de Fellou
El navegador Fellou envía el contenido de la página web a su sistema de inteligencia artificial cuando los usuarios navegan a un sitio.
Pedirle al asistente de IA que visite una página web hace que el navegador pase el contenido visible de la página a la IA de una manera que permite que el texto de la página web anule la intención del usuario.
Esto significa que visitar un sitio malicioso podría desencadenar acciones de IA no deseadas sin requerir una interacción explícita del usuario con el asistente de IA.
Acceso a cuentas confidenciales
Las vulnerabilidades se vuelven peligrosas porque los asistentes de IA operan con privilegios de autenticación de usuario.
Un navegador de IA secuestrado puede acceder a sitios bancarios, proveedores de correo electrónico, sistemas de trabajo y almacenamiento en la nube donde los usuarios permanecen conectados.
Brave señala que incluso resumir una publicación de Reddit podría resultar en que los atacantes roben dinero o datos privados si la publicación contiene instrucciones maliciosas ocultas.
Contexto de la industria
Brave describe la inyección rápida indirecta como un desafío sistémico que enfrentan los navegadores de IA en lugar de un problema aislado.
El problema gira en torno a que los sistemas de inteligencia artificial no logran distinguir entre las entradas de los usuarios confiables y el contenido de las páginas web que no son confiables al crear mensajes.
Brave está reteniendo detalles de una vulnerabilidad adicional encontrada en otro navegador hasta la próxima semana.
Por qué esto importa
Brave sostiene que los modelos tradicionales de seguridad web fallan cuando los agentes de IA actúan en nombre de los usuarios.
Las instrucciones en lenguaje natural en cualquier página web pueden desencadenar acciones entre dominios que lleguen a bancos, proveedores de atención médica, sistemas corporativos y servidores de correo electrónico.
Las protecciones de políticas del mismo origen se vuelven irrelevantes porque los asistentes de IA se ejecutan con privilegios de usuario completos en todos los sitios autenticados.
La divulgación llega el mismo día que OpenAI lanzó ChatGPT Atlas con capacidades de modo agente, destacando la tensión entre la funcionalidad del navegador de IA y la seguridad.
Las personas que utilizan navegadores de IA con funciones de agente se enfrentan a un equilibrio entre las capacidades de automatización y la exposición a estas vulnerabilidades sistémicas.
Mirando hacia el futuro
La investigación de Brave continúa con hallazgos adicionales programados para divulgarse la próxima semana.
La compañía indicó que está explorando soluciones a largo plazo para abordar los problemas de límites de confianza en la navegación agente.
Imagen de portada: ¿Quién es Danny/Shutterstock?
