Gartner выпустила рекомендацию для организаций по блокировке агентских ИИ-браузеров. Речь о продуктах вроде Comet от Perplexity и ChatGPT Atlas от OpenAI. Причина — высокие киберриски для корпоративных данных.

Документ называется «Кибербезопасность должна пока блокировать браузеры с ИИ». Его подготовили вице-президент по исследованиям Деннис Сюй, старший директор-аналитик Евгений Миролюбов и вице-президент-аналитик Джон Уоттс. Главная претензия — настройки по умолчанию ставят удобство выше безопасности.

Аналитики выделили два элемента этих браузеров. Первый — боковая панель ИИ для обобщения, поиска и перевода контента. Второй — агентные транзакции, когда браузер сам перемещается по сайтам и выполняет задачи в открытых сессиях пользователя.

Основная проблема в том, что конфиденциальные данные часто уходят в облачную среду обработки ИИ. Это активный контент, история просмотров и открытые вкладки. Риск утечки возрастает, если настройки безопасности не усилены и не управляются централизованно.

Gartner предлагает оценить серверные службы ИИ браузера. Но даже при прохождении проверки нужно предупредить пользователей. Все, что они просматривают, может уйти в серверную часть службы ИИ. Нельзя держать конфиденциальные данные на вкладке при использовании боковой панели ИИ.

Эксперты видят несколько сценариев проблем. ИИ-браузеры уязвимы к внедрению подсказок и непрямым действиям агентов. Возможны неточные действия агентов. Риск потери учетных данных возникает, если браузер автоматически перейдет на фишинговый сайт.

Авторы предполагают, что сотрудники захотят автоматизировать скучные задачи через ИИ-браузеры. Другой сценарий — использование с внутренними инструментами закупок. Форма может быть заполнена неверно, заказан не тот товар или забронирован не тот рейс.

Gartner рекомендует запретить использование почты агентами. Это ограничит возможности по выполнению действий. Нужны настройки, которые не дают браузерам с ИИ сохранять данные.

Недавно исследователи Cato Networks обнаружили атаку на ИИ-браузеры HashJack. Символ решетки в URL используется для внедрения скрытых команд. ИИ-ассистенты выполняют их в обход защиты. Атака использует особенность обработки URL — фрагмент адреса после решетки остается в браузере. Злоумышленник дописывает решетку в конец ссылки и добавляет скрытые промты для ИИ.