Исследователи NeuralTrust сообщили о слабом месте в агентном браузере ChatGPT Atlas от OpenAI: омнибокс (единая строка ввода URL и запросов) допускает подмену намерения пользователя. Злоумышленник может замаскировать промпт под «похожую на ссылку» строку, и Atlas интерпретирует его как доверенную команду, запуская действия от имени пользователя.
Как работает атака через омнибокс Atlas
Ключевая причина риска — неоднозначная обработка ввода. В традиционных браузерах строка четко классифицируется как URL или поисковый запрос. Агентные браузеры добавляют третий режим — обработку естественно-языковых намерений для ИИ-агента. Если парсинг URL проваливается, Atlas пытается трактовать ввод как промпт. В результате «псевдо-URL» с намеренно искаженной структурой и вставленными инструкциями может быть принят за валидное намерение пользователя.
NeuralTrust демонстрирует, что достаточно сконструировать строку, визуально напоминающую адрес, но содержащую ошибки формата и встроенные команды на естественном языке. При копировании такой «ссылки» в омнибокс Atlas парсинг как URL не проходит, и система переключается в режим ИИ-команд, принимая внедренные инструкции за волю пользователя.
Практические сценарии эксплуатации
Подмена навигации и фишинг
В одном из сценариев атакующий прячет «ссылку» с промптом за кнопкой «Copy Link» на веб-странице. Пользователь вставляет ее в омнибокс, а Atlas исполняет встроенную команду и открывает контролируемый злоумышленником ресурс, например клон известного сайта для кражи учетных данных. Такой подход комбинирует социальную инженерию и уязвимость в логике парсинга.
Деструктивные действия через авторизованные сессии
В более опасном варианте встроенные инструкции инициируют операции с данными в сторонних сервисах, используя уже открытую и аутентифицированную сессию жертвы (например, запрос на удаление файлов в облачном хранилище). Проблема напоминает классическую модель «confused deputy»: агент выполняет команды, ошибочно считая их доверенными.
Почему это системная проблема агентных браузеров
NeuralTrust подчеркивает, что риск не уникален для Atlas: любая система, совмещающая URL, поиск и естественно-языковые команды в одном поле, уязвима к путанице контекстов. Отсутствие жестких границ между доверенным вводом (намерение пользователя) и недоверенным контентом (вставка со страницы) усиливает вероятность prompt injection и эскалации действий за счет уже выданных разрешений.
Рекомендованные меры защиты и архитектурные практики
Строгая классификация ввода: при ошибке парсинга URL не переключаться автоматически в режим промпта; по умолчанию отказывать в навигации при неоднозначности.
Доверенная граница для намерений: считать любой ввод в омнибоксе недоверенным, пока пользователь явно не подтвердит режим (URL/поиск/команда ИИ).
Явные подтверждения для чувствительных действий: запрет на выполнение потенциально опасных операций без интерактивной верификации (capability prompts, подтверждение области действия и учетной записи).
Контекстная изоляция: разделение прав и сессий по доменам, минимизация привилегий агента и ограничение автоматической передачи аутентификационных контекстов.
Надежный парсинг и нормализация: единый валидатор URL/IRI, нормализация пробелов и символов, жесткие требования к схеме и хосту; запрет на обработку «почти-URL» как намерений.
Гигиена UI/UX: при копировании ссылок с сайтов использовать канонизацию и валидацию; визуально различать режимы (адрес, поиск, агентные команды) и отображать предупреждения при смене контекста.
Эксплуатация требует элемента социальной инженерии — пользователь должен сам вставить вредоносный ввод. Однако это не снижает критичность: атака может запускать операции в других доменах, обходя защитные механизмы благодаря уже установленным сессиям и полномочиям. Организациям, тестирующим или внедряющим агентные браузеры, следует провести угрозо-моделирование для омнибокса, настроить политику подтверждений действий, ограничить права агента и включить мониторинг аномалий. Пользователям — избегать вставки «ссылок» из непроверенных источников и обращать внимание на явные признаки режима ввода.
