Автономные браузерные агенты с искусственным интеллектом уже активно используются компаниями для обработки данных и взаимодействия с клиентами, однако именно они становятся уязвимыми точками для кибератак. Об этом свидетельствуют исследования, опубликованные в Hackernoon, пишет КТРК.
Как уязвимости приводят к утечкам данных
Одно из испытаний показало, что достаточно скрытого div-тега на внутренней странице GitHub, чтобы AI-агент, работающий через открытый фреймворк Browser Use, автоматически раскрыл учетные данные руководителя компании. Этот случай стал показателем глубокой проблемы: безопасность агентов остается второстепенным элементом, хотя именно они обрабатывают конфиденциальные письма, бронирования и финансовые отчеты.
Исследователи подчеркивают, что 82% крупных компаний уже используют хотя бы одного AI-агента в производственных процессах, а к 2028 году число корпоративных пользователей может превысить 1,3 миллиарда. Однако при росте рынка меры защиты остаются на уровне поверхностных инструкций и фильтров, которые легко обходятся специально подготовленными атаками.
Как хакеры используют корпоративных агентов
Zenity Labs выявила свыше 3000 публично доступных агентов MS Copilot Studio, подключенных к CRM-системам и обработке заявок. Хакеры применяют стандартную цепочку атаки: разведка через OSINT, манипуляция запросами, захват без вмешательства человека и дальнейшая эксфильтрация данных. Такой подход превращает агентные системы в автоматизированные «черные ходы» в инфраструктуру компаний.
Главная проблема в том, что защита строится на «мягких границах» — текстовых инструкциях и правилах поведения, которые обходятся минимальными изменениями. Без песочницы и технической валидации входящих данных агенты остаются уязвимыми, позволяя злоумышленникам проникать в базы клиентов и внутренние сервисы.
От браузеров к корпоративным бэкдорам
Новые исследования Guardio показывают, что AI-браузеры — такие как Comet от Perplexity или Dia от Browser Company — также подвержены обману. В тестах агенты совершали покупки на фейковых сайтах, автоматически вводя платежные данные, и переходили по фишинговым ссылкам без проверок. Особенно опасным стало выполнение скрытых команд, встроенных прямо в веб-страницы.
Эксперименты показали, что приоритет разработчиков смещен в сторону удобства пользователя, тогда как безопасность передана сторонним сервисам вроде Google Safe Browsing, которые не способны противостоять новым видам атак. В результате даже простые сценарии могут привести к утечкам финансовой информации и конфиденциальных данных.
Почему безопасности нужно уделять первостепенное внимание
Эксперты настаивают: архитектура агентных систем должна строиться на принципах «security-first». Это предполагает жесткое разграничение модулей, многоуровневую проверку действий и обязательное участие человека при выполнении критически важных операций. Кроме того, необходимо внедрять тесты на устойчивость к атакам прямо в инженерные процессы.
От компаний ожидают прозрачности: они должны публиковать карты рисков, указывая, какие данные и роли может получить атакующий при компрометации агента. Нормативные органы США и ЕС также настаивают на стресс-тестах и независимых проверках, чтобы контролировать внедрение таких технологий в критически важную инфраструктуру.
Напомним, ранее мы писали о том, как размышления ИИ напоминают библиотеку Вавилона Борхеса.
