OpenAI назвала prompt-injection долгосрочной проблемой для ИИ-браузеров
Компания OpenAI фактически признала то, о чём специалисты по безопасности говорили с момента появления ИИ-браузеров: полностью защитить такие системы от prompt-injection атак вряд ли возможно. В блоге, посвящённом усилению защиты браузера ChatGPT Atlas, компания прямо заявила, что подобные атаки — структурная проблема, а не временный баг.
Prompt injection — это класс атак, при которых скрытые инструкции в письмах, документах или веб-страницах заставляют ИИ-агента выполнять действия, которых пользователь не запрашивал. В случае с ИИ-браузерами риск особенно высок, потому что агент не просто читает информацию, а действует от имени пользователя: открывает сайты, обрабатывает почту, пишет сообщения и потенциально взаимодействует с платёжными сервисами.
Одна из ключевых причин уязвимости — сама логика работы таких систем. ИИ-браузер одновременно обладает доступом к чувствительным данным и определённой степенью автономности. Как отмечают специалисты, именно сочетание этих двух факторов создаёт опасную зону: чем больше агенту разрешено делать самостоятельно и чем шире его доступ, тем выше последствия даже мелкой ошибки интерпретации.
Проблема усугубляется тем, что prompt-инъекции могут быть неочевидными. В отличие от классических вредоносных скриптов, они маскируются под обычный текст — например, под комментарий в документе или письмо без подозрительных вложений. Для человека такие инструкции могут выглядеть бессмысленно или вовсе быть невидимыми, но ИИ воспринимает их как часть контекста, который нужно учитывать.
Ситуация с ChatGPT Atlas показала, что атаки могут быть элементарными. Исследователи продемонстрировали, как несколько строк текста в Google Docs меняли поведение браузера. Аналогичные риски ранее описывали и другие разработчики ИИ-браузеров, включая Anthropic и Google, которые признают, что речь идёт о системной уязвимости, а не об ошибке конкретной реализации.
Эту точку зрения недавно поддержал и National Cyber Security Centre Великобритании. Ведомство прямо указало, что prompt-injection атаки «могут никогда не быть полностью устранены» и что основная задача разработчиков — снижение риска и ущерба, а не попытка окончательно «закрыть» проблему.
Ответ OpenAI на эту реальность — не обещание абсолютной безопасности, а ускорение цикла защиты. Компания использует автоматизированного ИИ-атакующего, обученного с помощью обучения с подкреплением, который играет роль хакера и ищет новые способы обмануть агента ещё до того, как подобные техники появятся в реальных атаках. Такой подход позволяет находить нетривиальные сценарии, которые не всегда обнаруживаются при ручном тестировании.
Тем не менее эксперты подчёркивают, что даже сложные защитные меры не меняют базового баланса рисков. ИИ-браузеры остаются инструментами с высокой ценностью и столь же высокой уязвимостью. Как отмечают специалисты по безопасности, для большинства повседневных сценариев их польза пока не всегда оправдывает уровень доступа к почте, документам и платежам, который им приходится предоставлять.
А вы пользуетесь браузерами со встроенным ИИ?