Аналитическая компания Gartner выпустила отчет «Cybersecurity Should Block AI Browsers for Now», в котором рекомендует организациям временно ограничить или заблокировать использование ИИ-браузеров. По мнению экспертов, текущая реализация таких инструментов создает избыточные риски для кибербезопасности и конфиденциальности — от утечек данных до нежелательных транзакций от имени пользователя.
Что такое ИИ-браузеры и почему они опасны для кибербезопасности
Под ИИ-браузерами в Gartner понимают продукты вроде Perplexity Comet и ChatGPT Atlas, которые совмещают обычный веб-браузер с интегрированной боковой панелью на базе больших языковых моделей (LLM). Такие решения способны анализировать содержимое открытых страниц, историю просмотров и по агентному принципу выполнять действия в сети — от заполнения форм до навигации по сайтам.
Авторы отчета — вице-президент по исследованиям Деннис Сю (Dennis Xu), старший директор-аналитик Евгений Миролюбов (Evgeny Mirolyubov) и аналитик Джон Уоттс (John Watts) — подчеркивают, что настройки ИИ-браузеров по умолчанию ориентированы на максимальное удобство пользователя, а не на безопасность. Это означает минимальные ограничения по сбору данных, широкие полномочия ИИ-агентов и слабый контроль со стороны корпоративных политик.
Утечки данных через ИИ-сайдбары и облачные бэкенды
Ключевая техническая проблема, на которую указывает Gartner, — то, как ИИ-браузеры работают с данными. Боковые панели часто отправляют в облачный бэкенд провайдера активный веб-контент, историю браузера и информацию об открытых вкладках. В корпоративной среде это может включать коммерческую тайну, персональные данные клиентов, внутренние документы и конфиденциальную переписку.
Эксперты рекомендуют компаниям прежде всего оценить безопасность ИИ-бэкенда, который стоит за браузером: где хранятся данные, как они защищаются, используются ли они для обучения моделей, кто имеет к ним доступ. Если уровень защиты кажется недостаточным, Gartner прямо советует заблокировать установку и использование ИИ-браузеров для всех сотрудников.
Даже при положительной оценке сервиса организациям рекомендуется предупредить пользователей, что любая информация, отображаемая в браузере, потенциально может быть передана в облако. Практическая рекомендация: не работать с чувствительными данными в тех вкладках, где активен ИИ-сайдбар, или полностью отключать его в защищенных сегментах сети.
Агентные функции ИИ-браузеров: новые векторы атак
Отдельную озабоченность Gartner вызывают так называемые агентные возможности ИИ-браузеров — когда ИИ получает право самостоятельно совершать действия в интернете от имени пользователя. Такие агенты могут кликать по ссылкам, переходить по сайтам, заполнять формы, инициировать заказы и выполнять иные операции без прямого подтверждения каждого шага.
Исследователи выделяют несколько сценариев риска:
1. Непрямые prompt-injection-атаки. Злоумышленник может разместить на веб-странице скрытые инструкции для ИИ-агента. При анализе страницы агент воспримет их как команду, изменит свое поведение, может передать конфиденциальные данные на сторонний ресурс или выполнить вредоносные действия.
2. Ошибочные действия из-за неверных рассуждений модели. LLM могут «галлюцинировать» и делать некорректные выводы, особенно в сложных бизнес-процессах. В случае с ИИ-браузером это может привести не только к неправильным ответам, но и к реальным действиям: от неправильного заполнения юридических форм до ошибочных финансовых операций.
3. Фишинг и компрометация учетных данных. Если ИИ-агенту доверены логины и пароли, он может быть обманом перенаправлен на фишинговый сайт и автоматически ввести учетные данные. В результате организация потеряет контроль над важными аккаунтами без прямого участия сотрудника.
Как сотрудники могут злоупотреблять автоматизацией
Авторы отчета обращают внимание и на человеческий фактор. Сотрудники могут использовать ИИ-браузеры, чтобы автоматизировать обязательные, но рутинные задачи, которые они не хотят выполнять лично. В качестве примера приводится сценарий, когда ИИ-браузер «проходит» за работника обязательный тренинг по кибербезопасности. Формально требования соблюдены, но реальный уровень осведомленности персонала о киберугрозах падает.
Ошибки в закупках и лишние расходы
Еще один риск связан с агентным использованием ИИ в системах закупок. LLM, заполняя формы, может допустить неточность, что приведет к заказу не тех товаров, бронированию билетов на неверные рейсы и другим финансовым потерям. В больших организациях подобные ошибки масштабируются и превращаются в заметные издержки и операционные сбои.
Какие меры защиты рекомендует Gartner
Gartner считает, что на текущем этапе ИИ-браузеры слишком рискованны для свободного применения в компаниях без предварительного анализа. Организациям предлагается:
- Провести формальную оценку рисков для каждого конкретного ИИ-браузера и его бэкенда.
- Определить перечень запрещенных сценариев (работа с критически важными системами, закупками, платежами, учетными записями с повышенными привилегиями и т.п.).
- Ограничить полномочия ИИ-агентов, в том числе отключить доступ к электронной почте, финансовым системам и внутренним административным консолям.
- Настроить политики конфиденциальности: по возможности запрещать сохранение данных, минимизировать объем отправляемой в облако информации.
- Обучать сотрудников специфическим рискам, связанным с ИИ-инструментами, и регулярно напоминать, какие данные запрещено вводить или просматривать при активном ИИ-сайдбаре.
С учетом позиции Gartner бизнесу имеет смысл уже сейчас пересмотреть политику использования ИИ-браузеров, внедрить жесткие правила и технические ограничения, а также выработать стратегию безопасного применения ИИ в корпоративной среде. Компании, которые заранее выстроят управление рисками ИИ и контроль за новыми инструментами, снизят вероятность утечек данных, финансовых потерь и регуляторных санкций и смогут использовать преимущества искусственного интеллекта без критических компромиссов для кибербезопасности.
