Исследователи SquareX выявили новый вектор атак на агентные ИИ-браузеры — AI Sidebar Spoofing. Метод позволяет злоумышленникам подменять встроенную боковую панель ассистента и незаметно направлять пользователей к опасным действиям. Подвержены как ChatGPT Atlas от OpenAI, так и Comet от Perplexity: оба продукта интегрируют большие языковые модели (LLM) в интерфейс браузера, включая агентные возможности.
Что произошло: уязвимость в интерфейсе боковой панели ИИ
По данным SquareX, вредоносное расширение браузера может инжектировать JavaScript на просматриваемые страницы и создавать визуальную копию боковой панели поверх настоящей. Такая «маска» перехватывает все взаимодействия пользователя с ассистентом. Подделка выглядит неотличимо и работает прозрачно для жертвы: пользователь продолжает «общаться» с ИИ, фактически взаимодействуя с вредоносным интерфейсом.
Как работает атака через расширение
Для эксплуатации достаточно стандартных разрешений расширения — host и storage, применяемых множеством легитимных инструментов, включая менеджеры паролей и сервисы проверки текста. После открытия новой вкладки скрипт отрисовывает поверх оригинала фальшивый сайдбар, перенимая клики, ввод и контекст страницы. Такой подход обходит доверие к браузерной «хроме» и ломает модель «подскажи на этой странице», внедряя злоумышленное посредничество в диалог человек–ИИ.
Почему это особенно опасно для агентных функций
И Atlas, и Comet поддерживают агентный режим: ассистент может самостоятельно бронировать услуги, оформлять покупки, заполнять формы и выполнять многошаговые задачи. В случае подмены UI любой автодействующий сценарий превращается в канал для мошенничества — от кражи платежных данных до несанкционированных операций с учетными записями.
Демонстрация SquareX и затронутые продукты
SquareX показали практическую эксплуатацию на примере Comet с использованием Google Gemini: настройки были модифицированы так, чтобы ассистент выдавал вредоносные инструкции при определенных запросах. Изначально тестирование велось на Comet, так как ChatGPT Atlas еще не был доступен. После релиза версии для macOS исследователи подтвердили, что спуфинг боковой панели срабатывает и в этом браузере. По словам SquareX, запросы к Perplexity и OpenAI остались без ответа.
Возможные сценарии злоупотреблений
Команда описала три показательных сценария:
— При вопросах о криптовалютах «ассистент» перенаправляет на фишинговые площадки. Такой прием хорошо сочетается с социальной инженерией и высокой стоимостью криптоактивов.
— Проведение OAuth-атаки: через поддельное приложение для шаринга файлов жертву подталкивают выдать доступ к Gmail и Google Drive. Подобные «consent phishing» кампании давно фиксируются отраслью и рассматривались в рекомендациях регуляторов, включая материалы CISA и Google.
— При попытке установить софт «ассистент» предлагает команду установки, которая на деле разворачивает реверс-шелл, обеспечивая устойчивый удаленный доступ.
Контекст: почему это соответствует текущим трендам угроз
UI-спуфинг и атаки через расширения укладываются в известные модели угроз браузера: подмена доверенного интерфейса и злоупотребление разрешениями. Отраслевые отчеты, включая ежегодный Verizon DBIR, отмечают, что фишинг и социальная инженерия остаются ключевыми векторами, а OAuth-злоупотребления — устойчивой техникой обхода паролей без взлома. В экосистеме расширений давно обсуждается необходимость минимизации прав и строгой модерации — однако популярные сценарии работы делают базовые разрешения вроде host/storage практически неизбежными.
Рекомендации по снижению рисков
Пользователям и организациям
— Свести использование агентных функций к низкорисковым задачам; избегать операций с почтой, финансами и приватными данными через ассистента.
— Проводить регулярный аудит расширений: удалять ненужные, проверять запрошенные разрешения, ставить из доверенных источников, разделять рабочие и личные профили браузера.
— Ограничить выполнение команд, предложенных ассистентом, особенно связанных с установкой ПО или терминальными действиями; применять политики запрета запуска неизвестных бинарников и скриптов.
— Контролировать OAuth-доступы: периодически ревокать токены, проверять список приложений с доступом к почте и облаку, включить многофакторную аутентификацию и уведомления о безопасности.
Вендорам ИИ-браузеров
— Ввести «доверенную зону UI» (trusted UI) для ассистента на уровне браузерной хромы, недоступную DOM-оверлеям со страниц.
— Реализовать механизмы защиты от спуфинга: защищенные индикаторы подлинности, водяные знаки интерфейса, периодические проверки целостности сайдбара и событие-детекцию перекрытий.
— Ужесточить политику расширений: изоляция контента, ограничение host-пермишенов, поддержка Permission Prompt Transparency и детальные логи пользовательских взаимодействий с ассистентом.
С ростом популярности агентных ИИ-браузеров границы между «чатом» и «действиями от вашего имени» стираются, а атаки на интерфейс становятся не просто UX-проблемой, а вопросом безопасности. Пользователям стоит осознанно относиться к доверию, которое они делегируют ассистенту, а разработчикам — строить защищенную, верифицируемую среду взаимодействия. Примите базовые меры гигиены (аудит расширений, контроль OAuth-доступов, минимизация прав) и следите за обновлениями от поставщиков — это существенно снижает вероятность успешной подмены боковой панели и последующих компрометаций.
