AI-браузери обіцяють революцію у веббраузінгу — автоматизацію рутинних завдань, інтелектуальний пошук і персонального асистента в кожній вкладці. OpenAI, Perplexity та інші технологічні гіганти активно просувають свої рішення. Проте детальне тестування виявило критичні вразливості, які ставлять під загрозу безпеку фінансових даних, особистої інформації та корпоративних акаунтів користувачів.
- Вразливість до атак через ін’єкцію промптів
- Шокуюча статистика захисту від загроз
- Нова вразливість: “Заражена пам’ять”
- Системна проблема всієї категорії
- Контекст: епідемія AI-фішингу у 2025 році
- Питання конфіденційності даних
- Обмежена практична корисність агентів
- Альтернативний підхід: Brave Leo
- Альтернатива: розширення для звичайних браузерів
- Практичні рекомендації експертів
- Висновок
Вразливість до атак через ін’єкцію промптів
Більшість AI-агентів схильні до атак типу ін’єкція промптів (prompt injection). Ця атака відбувається, коли вебсайт додає приховані інструкції, які штучний інтелект виконує замість запиту користувача. Нічого не зламується — AI просто читає весь вміст сторінки, включно з невидимим для користувача текстом, і сприймає його як частину діалогу.
Це стає критичною проблемою в AI-браузерах, оскільки агент намагається проаналізувати всю сторінку одразу. Якщо сайт приховує рядок тексту, AI все одно прочитає його і може сприйняти як справжню команду. Таким чином сайт може змусити агента ігнорувати запит користувача або видати небажаний результат.
Навіть OpenAI визнає, що новий браузер ChatGPT Atlas досі вразливий до ін’єкцій промптів. У ході тестування експерту вдалося обдурити Dia — популярний AI-браузер — змусивши його спілкуватися виключно піратською мовою та замінювати слово “собаки” на “морські пси” при підсумовуванні контенту спеціально підготовленої сторінки. Хоча це був простий приклад, він довів суть проблеми: агент виконав приховану інструкцію на сторінці, проігнорувавши справжній запит користувача.
Якщо такі прості маніпуляції можуть змінити поведінку AI, легко уявити, що можуть зробити інтернет-магазини або шкідливі сайти. Торговельна платформа може підштовхнути AI до рекомендації дорожчої версії товару, а зловмисний сайт — непомітно спрямувати агента до небезпечних посилань.
Шокуюча статистика захисту від загроз
Дослідження компанії LayerX Security виявило критичну різницю в захисті між традиційними та AI-браузерами. У тестах понад 100 реальних вебвразливостей та фішингових атак результати виявилися приголомшливими:
- Microsoft Edge заблокував 53% загроз
- Google Chrome — 47%
- Dia — 46%
- Perplexity Comet — лише 7%
- ChatGPT Atlas — лише 5,8%
Це означає, що користувачі AI-браузерів на 90% більш вразливі до атак порівняно з традиційними браузерами. Фактично, ChatGPT Atlas пропускає майже 95 загроз із кожних 100, які легко блокують звичайні браузери.
Нова вразливість: “Заражена пам’ять”
Дослідники виявили ще одну серйозну проблему ChatGPT Atlas під назвою “Tainted Memories” (“Заражена пам’ять”). Ця вразливість дозволяє зловмисникам використовувати недолік міжсайтової підробки запитів (CSRF) для впровадження шкідливих інструкцій у постійну пам’ять ChatGPT.
Небезпека полягає в тому, що заражена пам’ять зберігається на всіх пристроях і в усіх сеансах користувача. Коли користувач повертається до браузера для звичайної роботи, зловмисник може:
- Отримати контроль над акаунтом
- Викрасти паролі та особисті дані
- Виконувати небажані покупки
- Публікувати пости в соціальних мережах
- Отримати доступ до банківських рахунків
Експерти називають це “атакою ланцюга постачання нового покоління” — вразливості подорожують разом із користувачем, заражають майбутню роботу та стирають межу між корисною автоматизацією AI та прихованим контролем.
Системна проблема всієї категорії
Дослідження компанії Brave Software підтверджують, що ін’єкція промптів є не ізольованою проблемою окремих браузерів, а системною вразливістю всієї категорії AI-браузерів. Команда безпеки Brave виявила подібні вразливості в Perplexity Comet, Opera Neon та інших рішеннях.
Шіван Кауль Сахіб, віце-президент з питань конфіденційності та безпеки Brave, пояснює: “Традиційні припущення веббезпеки перестають працювати, коли AI-агенти діють від імені користувачів. Прості інструкції природною мовою на будь-якому вебсайті — або навіть коментар на Reddit — можуть запускати міждоменні дії, що досягають банків, медичних закладів, корпоративних систем та поштових сервісів”.
Навіть команда безпеки Perplexity визнала серйозність проблеми, зазначивши в офіційній публікації, що “ін’єкція промптів настільки серйозна, що вимагає переосмислення безпеки з нуля”. Компанія підкреслює, що атаки “маніпулюють самим процесом прийняття рішень AI, перетворюючи можливості агента проти його користувача”.
Контекст: епідемія AI-фішингу у 2025 році
Проблема AI-браузерів посилюється на тлі глобального зростання AI-керованих кіберзагроз. Статистика 2025 року показує драматичні зміни в ландшафті кіберзагроз:
- 82,6% фішингових листів нині використовують AI-мовні моделі або генератори — зростання на 53,5% з 2024 року
- AI-фішинг досягає 60% успішності проти людей, причому 54% отримувачів натискають на шкідливі посилання
- Це майже вчетверо вище, ніж традиційні фішингові кампанії
- Зростання на 140% у браузерних фішингових атаках за останній рік
- Середня вартість витоку даних у 2025 році становить $4,88 мільйона
У березні 2025 року AI-агенти вперше перевершили елітні людські “червоні команди” (хакери-тестувальники) в створенні ефективних фішингових кампаній. За період з 2023 по 2025 рік ефективність AI-фішингу зросла на 55% порівняно з людськими атаками.
Дослідники також зафіксували зростання на 331% у фішингу через QR-коди та масштабне використання платформ “фішинг-як-послуга” (PhaaS), які автоматизують створення складних атак.
Питання конфіденційності даних
На відміну від традиційного пошуку, користувачі схильні ділитися значно більшою кількістю особистої інформації з великими мовними моделями, оскільки взаємодія нагадує звичайну розмову. Проблема полягає в тому, що такі діалоги не просто зберігаються — у багатьох випадках надані дані використовують для навчання або вдосконалення майбутніх моделей. Це означає, що особисті історії, уподобання та рішення користувачів можуть стати частиною набору даних, що формує поведінку AI для мільйонів інших людей.
Коли AI-браузер надсилає в хмару кожну відвідану сторінку та кожен написаний промпт, ціна з точки зору конфіденційності стає набагато вищою. Це, можливо, найчистіша форма профілювання, яку можуть здійснювати компанії, тому AI-браузер є найпростішим способом її досягнення.
Обмежена практична корисність агентів
AI-агенти мають автоматично виконувати дії на основі промптів користувача. Теоретично це повинно економити час, але на практиці це рідко спрацьовує. Під час тестування режим Agent Mode в новому браузері ChatGPT Atlas виявився практично марним.
Більша проблема полягає в безпеці. Ці агенти також схильні до атак через ін’єкцію промптів, але наслідки можуть бути набагато гіршими. AI-браузери можна обдурити, змусивши їх піддатися шахрайству, наприклад фішингу, що є катастрофічною вразливістю.
Джордж Чалхуб, доцент Центру взаємодії UCL, пояснює: “Ці вразливості значно небезпечніші за традиційні браузерні вразливості. З AI-системою вона активно читає вміст і приймає рішення за вас. Тому поверхня атаки набагато більша і справді невидима. У минулому зі звичайним браузером потрібно було виконати низку дій, щоб зазнати атаки чи зараження”.
Якщо агентські операції є однією з головних переваг цих браузерів, але створюють такий значний ризик, то навіщо взагалі їх використовувати?
Альтернативний підхід: Brave Leo
Не всі компанії поспішають випускати незахищені AI-браузери. Brave Software розробляє AI-асистента Leo з акцентом на безпеку та конфіденційність. На відміну від конкурентів, Brave:
- Відкладає публічний запуск агентських функцій до вирішення проблем безпеки
- Проводить дослідження вразливостей конкурентів і публікує результати
- Розробляє нову архітектуру безпеки спеціально для агентського браузінгу
- Використовує детальні дозволи замість повного доступу до всіх акаунтів
- Не зберігає чати і не використовує їх для навчання моделей
- Проксує всі запити через сервер анонімізації
Дейн Стакі, головний директор з інформаційної безпеки OpenAI, визнав у соцмережі X: “Ін’єкція промптів залишається невирішеною проблемою безпеки, і наші супротивники витратять значний час і ресурси, щоб знайти способи змусити агентів ChatGPT піддатися цим атакам”.
Альтернатива: розширення для звичайних браузерів
Аналіз найпопулярніших AI-браузерів показує їхню дивовижну схожість. Perplexity Comet, ChatGPT Atlas та Dia використовують практично однакову формулу: викликають велику мовну модель для занадто широких або нечітких запитів, додають AI-бічну панель для читання сторінок і відповідей на запитання, та включають базові агентські функції для автоматизації завдань.
Більшість цих функцій можна отримати через розширення для звичайних браузерів. Perplexity має власне розширення AI Search, що замінює Google Search. Для AI-бічної панелі можна використовувати інструменти на кшталт FillApp або вбудований функціонал браузера Firefox. Поєднавши ці компоненти, користувач отримує той самий набір функцій без необхідності встановлювати новий браузер і, що важливіше, зберігає надійний захист традиційних браузерів від фішингу та інших загроз.
Практичні рекомендації експертів
Якщо ви все ж вирішили використовувати AI-браузери, експерти з кібербезпеки рекомендують:
Обмежте доступ:
- Не надавайте доступ до банківських акаунтів, медичних записів та особистої інформації
- Використовуйте AI-браузери в окремих профілях, ізольованих від чутливих акаунтів
- Дочекайтеся зрілості технології перед наданням широкого контролю
Перевіряйте дії:
- Уважно стежте за кожною дією агента в реальному часі
- Перевіряйте джерела перед довірою до посилань або команд
- Уникайте автоматичної взаємодії з незнайомими вебсайтами
Підтримуйте захист:
- Завжди використовуйте найновіші версії для отримання виправлень безпеки
- Негайно повідомляйте про підозрілу поведінку розробникам
- Розгляньте можливість використання двофакторної автентифікації для всіх важливих акаунтів
Будьте обережні з дозволами:
- Не дозволяйте доступ до сховища паролів
- Обмежте доступ лише до необхідних функцій
- Регулярно переглядайте надані дозволи
Висновок
AI-браузери потребують більш амбітних цілей, ніж просто обгортка для великих мовних моделей. Штучний інтелект має справді покращувати досвід користувача, а не просто дублювати інформацію зі сторінки в бічній панелі.
Нині більшість таких рішень базуються на Chromium і пропонують схожий, обмежений функціонал, що викликає серйозні сумніви щодо доцільності їх використання. Статистика показує, що AI-браузери блокують у 10 разів менше загроз, ніж традиційні рішення, а системні вразливості до ін’єкцій промптів залишаються невирішеними.
На тлі епідемії AI-фішингу, коли 82,6% зловмисних листів створюються штучним інтелектом, додавання ще одного векторів атак через вразливі AI-браузери виглядає необачно. Експерти радять зачекати, поки технологія дозріє і розробники створять надійні архітектури безпеки, перш ніж довіряти AI-браузерам доступ до чутливих акаунтів.
Як зазначив один з дослідників безпеки: “2026 рік буде вирішальним. Якщо виробники, підприємства та регулятори сприйматимуть агентський браузінг як архітектурний зсув, що вимагає нових примітивів безпеки та міцніших моделей згоди, технологія може стати продуктивним і безпечним помічником. Якщо ні, ці самі агенти перетворять мільйони рутинних взаємодій на масштабні канали експлуатації”.
