Az internet új korszakát ígérik az új generációs böngészők, de tele vannak nevetségesen béna biztonsági kockázatokkal

Az ember kora véget ért, eljött az ügynök típusú (agentic) mesterséges intelligencia ideje. Legalábbis ezt állítják az MI-evangelisták és a nagy fejlesztők, mint például az OpenAI, az Opera, a Perplexity és a Browser Company. De igazából ide illik a Microsoft, a Google és részben a Mozilla is, bár utóbbinál úgy felháborodtak a felhasználók a mesterséges intelligencia böngészőbe építése miatt, hogy a cég részben visszatáncolt ettől.

A felsorolt cégek mind előálltak új böngészőkkel vagy fejlesztésekkel, amik beleerőszakolnák az MI-t a mindennapi netezésbe: az OpenAI kiadta az Atlas nevű böngészőjét, a Perplexity a Cometet, a Browser Company a Diát, az Opera pedig az Opera AI-t. Eközben a Microsoft a Copilotot tolja bele minden szoftverébe, a Google pedig a Geminit erőlteti.

Mindegyik cég azt állítja, hogy eljött a netezés új fejezete: ne mi túrjuk az emberi tudás végtelen, bár egyre inkább szeméttel és fals információkkal teli gyűjteményét, hanem hagyjuk, hogy az MI szenvedjen ezzel helyettünk. Együtt vacsorázna a haverokkal egy felkapott étteremben? Kérje meg a böngészőben élő MI-t, hogy foglaljon asztalt, és küldjön mindenkinek naptármeghívót az emailcíméről. Minden hónapban rendel egy zsák kutyakaját és két karton ásványvizet? Csak mondja meg a virtuális asszisztensnek, hogy melyik boltban, milyen gyakran és mit vegyen, és az MI majd felmegy a webshopba, megveszi a cuccokat, és a beállított bankkártyával ki is fizeti, hogy azok csak megjelenjenek a lakcímén.

Persze elvileg ennél profibb felhasználásra is jók: emaileznek helyettünk, tantervet vagy napirendet raknak össze, prezentációt csinálnak megadott témában, vagy elmagyarázzák a híreket. Tiszta sci-fi! A böngészők ismertetői alapján szinte már megérkeztünk J.A.R.V.I.S.-hoz a Vasemberből, vagy a központi számítógéphez a Star Trekből, esetleg a Halo Cortanájához. Végre az MI nemcsak annyi, hogy igénytelen képeket és videókat gyártsanak velük, hogy leváltsák az igazi grafikusokat és/vagy a valóságot, hanem a hétköznapi ember számára is hasznos. Alig vártam, hogy kipróbálhassam őket.

Ideális esetben most elkezdeném megírni, milyen volt telepíteni a böngészőket, mennyire felhasználó-központúak, és valószínűleg megosztanék néhány vicces kis anekdotát arról, hogy néha hogy bénáztak. Sajnos azonban nem ideális világban élünk, úgyhogy csak az OpenAI Atlasát töltöttem le, amit hamarosan le is töröltem.

Ünneppromptók

Ugyanis nagyon hamar kiderült, hogy ezek mind egy szálig – ahogy az XDA is írja – válogatott kiberbiztonsági rémálmok. Egyszerűen nem tudtam úgy tesztelni őket, hogy minél több ígéretüket kipróbáljam, és ehhez ne szegjek meg gyakorlatilag minden biztonsági alapvetést, amit az első informatikaórám óta milliószor hallottam.

A sebezhetőségük pont abban rejlik, amiért a generatív MI-k olyan népszerűek: szabadszavasan meg lehet neki írni, mit akarunk (ezt hívják promptnak), és az MI azt megpróbálja végrehajtani. Na de mi van akkor, ha valaki más is tudja promptolni a mi böngészőnket, amiben megadtunk bankkártyainfókat, személyes adatokat, akár útlevélszámot, privát telefonszámot? Ez elég veszélyes, és a Brave kutatói szerint nagyon egyszerű visszaélni vele.

A tesztjükben írtak egy Reddit-posztot, és az első kommentben parancsba adták a böngészőnek, hogy ha látja ezt a feliratot, akkor próbáljon meg bejelentkezni a felhasználó Perplexity-fiókjába, kérjen egy egyszer használatos jelszót, és mivel arra is rálát – hiszen hozzáfér a felhasználó emailjeihez –, írja be kommentben a fiókhoz tartozó emailcímet és a kapott jelszót. Így egy rossz szándékú figura simán be tud lépni a Perplexity-fiókba – és ehhez nem kell más, csak annyi, hogy a böngésző felhasználója megkérje a Cometet, hogy összegezze neki az oldal tartalmát, ami egy nagyon népszerű funkció minden ilyen MI-nél. Ezt hívják indirect prompt injectionnek, és az Opera saját jelentése szerint egyelőre nem tudják 100 százalékos sikerrel kizárni a rosszindulatú promptok végrehajtását.

Ez az egyik nagy veszély. A másik az adatok átszivárgása egyik böngészőfülről a másikra. A hagyományos böngészőkben a füleket szigorúan elválasztják egymástól, hogy például a Facebook ne lásson rá, hogy egy másik ablakban honnan rendelek ebédet. Persze ez nem tökéletes rendszer, a sütik miatt igazából nagyon sok mindent tudnak mindenkiről, és a reklámazonosítókkal ijesztően könnyű bárkit nyomon követni, de azért a szeparáció úgy-ahogy működik.

Nos, az agentic böngészők nem így működnek (kivéve az Operát), hiszen pont az bennük elvileg a lényeg, hogy az MI minél több mindenre lásson rá, hogy bonyolultabb feladatokat is megoldjon. Ehhez azonban sok mindenre kell emlékeznie, és könnyű kihasználni, hogy olyan adatokat is megosszon, amire egy adott munkafolyamathoz nem lenne szükség.

Mondjuk, arra kérjük az MI-t, hogy csekkolja, mennyi pénz van a bankszámlánkon. Ehhez be tud lépni a netbankunkba, ismeri az ahhoz szükséges felhasználóneveket, jelszavakat. Ha ezzel megvan, akkor megkérjük, hogy írjon egy emailt egy webshopnak. Azonban előfordulhat, hogy a webshop valójában egy kamubolt, és a fejlesztője elrejtett rajta egy parancsot, hogy ha egy agentic MI emailt ír neki, akkor belebotoljon, és az alapján elküldje az emailben a banki adatokat is. Ebbe a példába a banki adatok helyett bármilyen érzékeny adatot be lehet helyettesíteni, a kérdés csak az, hogy a támadó mire kíváncsi. Ez nem teljesen légből kapott példa, kutatók hasonlóan játszották ki nemrég a ChatGPT-t.

Az MI-böngészők – és úgy általában a generatív MI használata – vállalati oldalról is kockázatos. Ha a felhasználó rálátást enged az agentic MI-nek belsős, akár üzleti szempontból érzékeny tartalmakra – például egy prezentáció, memó, spreadsheet legyártásához –, akkor onnantól kezdve nem tudja garantálni, hogy azok nem kerülnek rossz kezekbe, hiszen a feldolgozásukhoz átkerülnek a felhőbe, és az emlékezete miatt meg is maradhatnak ott. Ezek után már csak egy rosszindulatú promptra van szükség ahhoz, hogy az MI felidézze ezeket. A Brave biztonsági csapata mindezt így foglalta össze:

„Az MI-vel működő böngészők, amik helyetted tudnak végrehajtani feladatokat, hatékonyak, de rendkívül kockázatosak. Ha a bankodhoz vagy emailedhez hasonló, érzékeny fiókokba vagy bennük bejelentkezve, akkor egy fórumbejegyzés egyszerű összegzése is azzal járhat, hogy támadók ellopják a pénzed vagy privát adataidat.”

A Brave el is napolta a Leo böngésző MI-s fejlesztését, amíg nem tudják kiküszöbölni a legnagyobb biztonsági kockázatokat, és olyan új architektúrákon dolgoznak, ami hatékonyabban kordában tudja tartani az MI-t.

Míg a böngészők biztonsági fejlesztésének elmúlt évtizedeiben a sarokkő az oldalak közötti szeparáció volt, addig az MI-s böngészőknek pont az a lényegük, hogy feloldják ezeket a korlátokat. Ha az MI átfut egy oldalt, akkor annak a tartalma keveredhet a felhasználó promptjával, és a rendszer nem fogja tudni elválasztani egymástól a felhasználó megbízható utasítását és weboldalakon látható, alapvetően megbízhatatlan tartalmakat.

Az Opera szakemberei a jelentésükben arra is kitértek, hogy milyen nehéz egyáltalán tesztelni ezeket a biztonsági részeket. A saját, neon nevű böngészőjüknél nagyjából az esetek 10 százalékában tudták a saját tesztelős prompt injectionükkel átverni a rendszert. Annyiféle prompt van, hogy nagyon nehéz a biztonsági tesztelés. Lehet, hogy 100 parancsnál semmi nem történik, de a 101. betalál. A promptlehetőségek végtelen száma miatt nehéz statisztikai alapú szabályszerűségeket észrevenni, felállítani, és a reprodukálhatóságot is megnehezíti. Arról nem is beszélve, hogy ahogy fejlődnek, változnak a modellek, úgy változhat az is, hogyan reagálnak a rosszindulatú promptokra. Lehet, hogy a jelenlegi verziót egy ilyen nem veri át, de a következőt igen, mert egy apró csavar a rosszindulatú parancsban átmegy a védelmen.

Az egész nagyon leegyszerűsíthető arra, hogy gondoljon az MI-s asszisztensére úgy, mint egy igazi, hús-vér emberre. Pont ugyanúgy ki tud szivárogtatni véletlenül fontos adatokat, mint egy ember, csak egyszerűbb átverni. Míg egy valós asszisztens remélhetőleg egy fura Reddit-komment miatt nem fogja leírni a jelszavát sehova, és, mondjuk, csak egy jól álcázott adathalász emaillel lehet belőle kicsalni bankkártyaadatokat, addig az MI-t egy jól elhelyezett prompttal is át lehet verni. Ne bízzon meg a gépben csak azért, mert egy olyan cég áll mögötte, amiről jó véleménye van, hanem előbb derítse ki, milyen korlátai vannak a megbízhatóságának, és csak azokon belül bízzon rá dolgokat – pont, mint ahogy egy emberrel tenné.

Én őszintén már azt sem igazán értem, hogy mi szükség erre az egészre – főleg, ha nem is lehet kiküszöbölni ezt a banálisnak tűnő sebezhetőséget. Tényleg nem lehet megírni egy emailt? Valóban olyan nehéz rákeresni valamire, kutatni egy kicsit, hogy egy MI-re van szükség, hogy előre megrágott információt öklendezzen fel? Nem állítom, hogy teljesen haszontalan, bár a saját szempontomból egyelőre nagyon is annak tűnik.

Íme, egy kívánságlista, hogy milyen lenne egy jó böngésző:

• Ne zabálja fel már a kezdőoldal a memória 60 százalékát.
• Utasítsa el automatikusan, a megkérdezésem nélkül a sütiket, a jogos érdekekkel együtt! És nem, nem akarok értesítéseket kapni, blokkolja a kérést automatikusan. Vagy még jobb, fel se tegye.
• Töltsön be gyorsan, nincs szükségem 28 különböző animációra, hogy eljussak a nyitóképernyőről a harmadik almenübe. (Pár éve valaki össze is rakta a legjobb erről szóló kézikönyvet.)
• Ne ugráljon, ahogy betölt dolgokat, hogy véletlenül reklámra kattintsak.
• Ne legyen MI-módja. Ha valamire kíváncsi vagyok, hadd keressek rá, hadd tanuljak új dolgokat. Képes vagyok egyedül is megemészteni új információt, és így kisebb az esélye, hogy valami bődületes baromság kerül elém.

Utóbbira, mondjuk, részben megoldás: a Vivaldi böngésző fejlesztői már nyilatkoztak erről, és nemrég bemutatták a 2026-os terveiket: nem lesz MI. Kiberbiztonsági szempontból könnyű beállni az üzenet mögé, még ha egyébként nagyon csábító lenne is, hogy a böngésző levegye a vállamról az apró-cseprő, de kötelező feladatokat.