Το διαδίκτυο δεν είναι ασφαλής χώρος και πρόκειται να γίνει χειρότερο. Μια νέα «επιφάνεια επίθεσης είναι πολύ ευρύτερη από οτιδήποτε έχουμε αντιμετωπίσει μέχρι σήμερα», με «κρυμμένους κινδύνους» που «υπονομεύουν ταυτόχρονα εκατομμύρια χρήστες». Και οι άμυνες της Google είναι «δυστυχώς ανεπαρκείς», όπως αναλύει ο Zak Doffman.
Google: Ο κίνδυνος των AI browsers
Ενώ «οι AI Browsers υπόσχονται ένα μέλλον όπου το Agentic AI δουλεύει για εσάς, αυτοματοποιώντας πλήρως τις online εργασίες από τις αγορές μέχρι τον χειρισμό email», αυτή η ευκολία «έρχεται με κόστος».
Η ομάδα έστησε τρία τεστ: να δοθεί εντολή στο AI να βρει και να αγοράσει ένα προϊόν online, να επιτραπεί στο AI να ανοίξει σελίδα εισόδου τράπεζας και μια νέα εκδοχή της ιογενούς επίθεσης ClickFix.
Σε κάθε περίπτωση, ο AI agent έθεσε τον άνθρωπό του σε κίνδυνο — και αυτές οι επιθέσεις δεν είναι περίπλοκες. Σχεδόν όλοι οι άνθρωποι θα τις εντόπιζαν. Και αυτό είναι το βασικό μήνυμα εδώ — το AI ξεγελιέται πολύ εύκολα και αυτή η επιφάνεια επίθεσης είναι τόσο νέα, που οι πιο εξελιγμένοι αντίπαλοι μόλις ξεκινούν.
Οι μεγάλες εταιρείες μπαίνουν στο παιχνίδι
«Οι AI Browsers δεν είναι πλέον έννοια», λέει η Guardio. «Η Microsoft έχει το Copilot ενσωματωμένο στον Edge. Η OpenAI πειραματίζεται με έναν sandboxed browser σε ‘agent mode’. Και το Comet της Perplexity αγκαλιάζει πλήρως την ιδέα ενός browser που σερφάρει για εσένα. Αναζητά, διαβάζει, ψωνίζει, κάνει κλικ. Δεν μας βοηθά απλά, αλλά μας αντικαθιστά ολοένα και περισσότερο.»
Το πρώτο τεστ – ένα ψεύτικο Walmart
Στο πρώτο τεστ, δημιουργήθηκε ένα ψεύτικο online κατάστημα Walmart.
«Ο ιστότοπος είχε τα πάντα: καθαρό design, ρεαλιστικές λίστες προϊόντων και μια διαδικασία πληρωμής αρκετά καλή για να περάσει από μια γρήγορη ματιά.»
Μέσα στον AI browser «η σελίδα φόρτωσε χωρίς πρόβλημα και δεν μπλοκαρίστηκε από το Google Safe Browsing, παρότι το GSB ήταν ενεργό σε αυτόν τον browser βασισμένο στο Chromium.»
Ο AI agent έλαβε εντολή να αγοράσει ένα Apple Watch και έκανε ακριβώς αυτό. «Βρήκε το Apple Watch, το έβαλε στο καλάθι και, χωρίς να ζητήσει επιβεβαίωση, συμπλήρωσε αυτόματα τη διεύθυνση και τα στοιχεία πιστωτικής κάρτας που είχαν αποθηκευτεί.»
Λίγα δευτερόλεπτα αργότερα «η αγορά ολοκληρώθηκε.» Δεν υπήρχε βέβαια κανένα ρολόι, μόνο ευκαιριακοί απατεώνες «που ήδη ξόδευαν τα χρήματά τους.»
Το τεστ δεν πετύχαινε πάντα, μερικές φορές το AI δεν ξεγελιόταν — αλλά ξεγελιόταν αρκετές φορές. «Και όταν η ασφάλεια εξαρτάται από την τύχη, δεν είναι ασφάλεια.»
Το δεύτερο τεστ – phishing σελίδα τράπεζας
Στο δεύτερο τεστ, ο AI browser οδηγήθηκε μέσω phishing email σε μια ψεύτικη σελίδα εισόδου της Wells Fargo.
«Δεν υπήρξε έλεγχος URL, καμία προειδοποίηση πριν την πλοήγηση, απλά μια άμεση μεταφορά στη σελίδα του επιτιθέμενου. Μόλις η ψεύτικη σελίδα φόρτωσε, ο browser την αντιμετώπισε ως νόμιμη. Προέτρεψε τον χρήστη να εισαγάγει διαπιστευτήρια, ακόμη και βοηθώντας να συμπληρωθεί η φόρμα.»
Το τρίτο τεστ – prompt injection και ClickFix
Το τρίτο τεστ επεκτάθηκε στη νέα απειλή του prompt injection, κρυμμένο πίσω από ένα τυπικό ClickFix popup, σε αυτήν την περίπτωση ένα Captcha, αλλά με κρυφές οδηγίες προς τον AI agent να αγνοήσει ό,τι ήταν ορατό στον άνθρωπο και να εκτελέσει διαφορετικό script.
«Δεν προσπαθούμε να κάνουμε το μοντέλο να υποκύψει μέσω glitch», λέει η Guardio. «Αντίθετα, το παραπλανούμε χρησιμοποιώντας τεχνικές δανεισμένες από την κοινωνική μηχανική στους ανθρώπους — απευθυνόμενοι απευθείας στον βασικό στόχο σχεδίασής του: να βοηθήσει τον άνθρωπό του γρήγορα, πλήρως και χωρίς δισταγμό. Του δίνουμε απλά τις καλύτερες (χειριστικές) μεθόδους για να το κάνει.»
Γιατί το πρόβλημα είναι σοβαρό
Η Guardio προειδοποιεί ότι «στην εποχή AI-vs-AI, οι απατεώνες δεν χρειάζεται να ξεγελάσουν εκατομμύρια διαφορετικούς ανθρώπους· χρειάζεται μόνο να σπάσουν ένα AI μοντέλο. Μόλις το καταφέρουν, το ίδιο exploit μπορεί να κλιμακωθεί ατελείωτα. Και επειδή έχουν πρόσβαση στα ίδια μοντέλα, μπορούν να “εκπαιδεύσουν” το κακόβουλο AI τους ενάντια στο AI του θύματος μέχρι η απάτη να λειτουργήσει άψογα.»
Αυτό λειτουργεί επειδή «η ασφάλεια συχνά θεωρείται εκ των υστέρων ή ανατίθεται εξ ολοκλήρου σε υπάρχοντα εργαλεία όπως το Google Safe Browsing, το οποίο είναι, δυστυχώς, ανεπαρκές.» Ακόμη και η ψεύτικη σελίδα εισόδου της Wells Fargo, που ήταν «ενεργή στο διαδίκτυο για αρκετές ημέρες», παρέμενε «ακόμα μη επισημασμένη από το Google Safe Browsing.»
Τι πρέπει να κάνετε
Η συμβουλή είναι απλή. Αν χρησιμοποιείτε AI agent και του δίνετε ελεύθερη πρόσβαση, τότε αλλάξτε τις ρυθμίσεις του browser σας ώστε να εφαρμόζεται Enhanced Protection. Αν αυτό δεν είναι διαθέσιμο, αλλάξτε browser.
Πρέπει επίσης να είστε προσεκτικοί με τους διαχειριστές κωδικών στον browser, τα αποθηκευμένα στοιχεία πιστωτικών καρτών και το autofill. Αν επιτρέπετε στον AI agent να αποκτήσει πρόσβαση στα διαπιστευτήριά σας και στις οικονομικές σας πληροφορίες, τότε βρίσκεστε σε λεπτό πάγο.
Σε έναν κόσμο όπου η Google ελέγχει το διαδίκτυο, κατευθύνοντάς μας και κατευθύνοντας τους AI agents μας στους ιστότοπους που επισκεπτόμαστε, τότε οι άμυνες της Google προστατεύουν το διαδίκτυο. Αν δεν λειτουργούν, τότε το διαδίκτυο δεν λειτουργεί. Απαιτείται επανεξέταση πριν να είναι πολύ αργά.