Дослідники SquareX повідомили про нову техніку атак на ІІ‑браузери — AI Sidebar Spoofing. Суть методу — непомітна підміна вбудованої бічної панелі асистента, через що користувач взаємодіє не з реальним помічником, а з підставним інтерфейсом зловмисника. Уразливість зачіпає як ChatGPT Atlas (OpenAI), так і Comet (Perplexity), що інтегрують великі мовні моделі та агентні можливості безпосередньо в UI браузера.
Як працює AI Sidebar Spoofing у браузері
Шкідливе розширення з типовими дозволами host і storage інжектує JavaScript на відкриті сторінки та відмальовує поверх оригінального сайдбара його візуальний двійник. Такий оверлей перехоплює кліки, введення та контекст сторінки, повністю контролюючи діалог «людина—ІІ». Підробка візуально не відрізняється від справжнього сайдбара, що підриває модель довіри до браузерної «хроми» та функцій «поясни на цій сторінці».
Чому агентні функції підсилюють ризик
Atlas і Comet підтримують автономні дії: бронювання, покупки, заповнення форм і багатокрокові сценарії. За умов підміни UI будь-яка автодія перетворюється на зручний канал шахрайства — від витоку платіжних даних і скомпрометованих облікових записів до непомітного переоформлення доступів.
Демонстрація SquareX і охоплені продукти
SquareX показала практичну експлуатацію на прикладі Comet із використанням Google Gemini: налаштування змінили так, щоб асистент видавав шкідливі інструкції для певних запитів. Після виходу версії ChatGPT Atlas для macOS дослідники підтвердили, що спуфінг бокової панелі спрацьовує і там. За словами SquareX, запити до Perplexity та OpenAI залишилися без відповіді на момент публікації.
Типові сценарії зловживань
— Переадресація на фішингові криптосайти під виглядом «надійних» рекомендацій асистента, що поєднує соціальну інженерію з високою цінністю активів.
— OAuth‑атака (consent phishing): через фейковий сервіс шерингу файлів жертву спонукають надати доступ до Gmail/Google Drive — без зламу паролів, але з повним контролем пошти та хмари.
— Пропозиція «команди встановлення», яка фактично розгортає reverse shell і забезпечує стійкий віддалений доступ до системи.
Контекст загроз: UI‑спуфінг, розширення та соціальна інженерія
Підміна довіреного інтерфейсу й зловживання дозволами розширень — усталені моделі загроз для браузерів. Галузеві огляди, зокрема щорічний Verizon DBIR, послідовно вказують, що фішинг і соціальна інженерія залишаються провідними векторами, а OAuth‑зловживання — надійною технікою обходу паролів. Базові пермішени на кшталт host/storage потрібні багатьом легітимним надбудовам (менеджери паролів, перевірка тексту), що ускладнює їх жорстке обмеження без втрати функціональності.
Як знизити ризики: практичні рекомендації
Для користувачів і організацій
— Обмежуйте агентні дії низькоризиковими задачами; уникайте операцій із фінансами, поштою та чутливими даними через ІІ‑асистента.
— Регулярно аудіюйте розширення: видаляйте зайві, перевіряйте дозволи, інсталюйте лише з довірених джерел; розділяйте робочі та особисті профілі браузера. В середовищах компаній застосовуйте політики allowlist/blacklist для розширень.
— Не виконуйте «команди від асистента» для встановлення ПЗ або запуску скриптів без перевірки. Запровадьте політики блокування невідомих бінарників і посиліть контроль PowerShell/Terminal.
— Керуйте OAuth‑доступами: періодично відкликайте токени, перевіряйте список сторонніх застосунків, увімкніть багатофакторну автентифікацію (за можливості — ключі безпеки) та сповіщення про підозрілі входи.
Для вендорів ІІ‑браузерів
— Створіть trusted UI‑зону для сайдбара на рівні браузерної «хроми», недоступну для DOM‑оверлеїв зі сторінки.
— Додайте захист від спуфінгу: помітні індикатори автентичності, водяні знаки інтерфейсу, перевірки цілісності сайдбара й детекцію перекриттів.
— Посиліть політику розширень: ізоляція контенту, мінімізація host‑дозволів, прозорі промпти дозволів, журнали взаємодій із асистентом та інструменти для форензики подій.
Популярність агентних ІІ‑браузерів стирає межу між «чатом» і «діями від вашого імені», тому атаки на інтерфейс — це вже не про UX, а про безпеку. Перегляньте довіру до асистентів, проведіть аудит розширень і доступів, впровадьте MFA та політики мінімальних привілеїв. Розробникам варто будувати верифікований, неспуфінговний UI. Чим раніше ви впровадите ці практики, тим менша ймовірність успішної підміни бокової панелі та подальших компрометацій.
