Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Przeglądarki agentowe oparte na sztucznej inteligencji mają wykonywać zadania w imieniu użytkownika: analizować treści, podejmować decyzje, wypełniać formularze i poruszać się między serwisami bez ciągłej ingerencji człowieka. Taki model działania zwiększa jednak powierzchnię ataku, ponieważ celem cyberprzestępców staje się już nie tylko użytkownik, ale również sam agent AI i jego mechanizm decyzyjny.
Najnowsze badania pokazują, że przeglądarka Perplexity Comet może zostać wciągnięta w scenariusz phishingowy w czasie krótszym niż cztery minuty. To istotny sygnał ostrzegawczy dla organizacji testujących lub wdrażających przeglądarki AI do zadań operacyjnych.
W skrócie
Badacze wykazali, że Comet może zostać zmanipulowany tak, aby zaakceptował złośliwą stronę i potraktował ją jako wiarygodną. Atak wykorzystuje zjawisko określane jako „Agentic Blabbering”, czyli nadmierne ujawnianie przez agenta własnych ocen, wahań i logiki działania.
- Atakujący obserwuje reakcje agenta na stronę.
- Następnie iteracyjnie modyfikuje treść phishingową.
- Celem jest usunięcie sygnałów, które wzbudzają podejrzenia modelu.
- W efekcie agent może wykonać działania zgodne z intencją oszusta.
Kontekst / historia
Bezpieczeństwo przeglądarek AI stało się w ostatnim czasie jednym z kluczowych tematów w obszarze ochrony systemów generatywnych i agentów wykonujących operacje w internecie. Wcześniejsze badania pokazywały już, że tego typu rozwiązania można nakłonić do niepożądanych działań za pomocą ukrytych instrukcji osadzonych w treści stron lub odpowiednio przygotowanego kontekstu.
Problem nie dotyczy wyłącznie pojedynczego produktu. Eksperci od miesięcy zwracają uwagę, że prompt injection w agentach przeglądarkowych może być wyjątkowo trudne do pełnego wyeliminowania, ponieważ wynika z samej architektury łączącej model językowy z możliwością wykonywania realnych akcji w środowisku webowym.
Analiza techniczna
Sednem opisanego scenariusza jest sprzężenie zwrotne pomiędzy zachowaniem przeglądarki AI a infrastrukturą atakującego. Agent analizuje stronę, ocenia ryzyko i planuje dalsze kroki. Jeżeli przeciwnik jest w stanie odczytać lub pośrednio wywnioskować, które elementy wzbudzają nieufność modelu, może automatycznie przebudowywać witrynę tak długo, aż zabezpieczenia przestaną reagować.
W badaniu wykorzystano zautomatyzowany proces optymalizacji wspierany przez model generatywny. Strona phishingowa była wielokrotnie modyfikowana na podstawie reakcji Comet, aż osiągnięto wariant, który agent uznał za akceptowalny. To oznacza przesunięcie ciężaru ataku z klasycznej socjotechniki wymierzonej w człowieka na manipulację samym mechanizmem decyzyjnym przeglądarki.
Technicznie atak łączy kilka klas ryzyka jednocześnie:
- pośrednie prompt injection osadzone w treści strony,
- nadużycie logiki planowania i wykonywania akcji przez agenta,
- wykorzystanie ujawnianego toku rozumowania jako kanału informacyjnego,
- optymalizację złośliwej strony pod konkretne zachowanie produktu i jego guardraile.
Szczególnie groźny jest aspekt skalowalności. Jeżeli przestępca zoptymalizuje złośliwą witrynę pod określony model i przeglądarkę, technika może działać wobec wielu użytkowników korzystających z tego samego rozwiązania.
Konsekwencje / ryzyko
Ryzyko operacyjne jest znaczące, ponieważ przeglądarki AI coraz częściej otrzymują dostęp do sesji użytkownika, poczty, historii przeglądania, tokenów, danych uwierzytelniających i aplikacji biznesowych. W takim modelu skuteczny phishing przeciwko agentowi może prowadzić nie tylko do wyłudzenia loginu i hasła, ale do znacznie szerszego kompromisu.
- przejęcie kont użytkownika,
- nieautoryzowane zakupy lub płatności,
- wyciek danych z aplikacji webowych,
- ujawnienie informacji z poczty i dokumentów,
- nadużycie aktywnych rozszerzeń, w tym menedżerów haseł,
- wykonanie działań wyglądających jak legalna aktywność użytkownika.
Dodatkowym problemem jest detekcja. Wiele obecnych mechanizmów bezpieczeństwa zostało zaprojektowanych z myślą o pomyłkach człowieka, a nie o sytuacji, w której zaufany agent software’owy zostaje oszukany przez odpowiednio przygotowaną stronę. To może utrudniać wykrywanie incydentów i opóźniać reakcję zespołów bezpieczeństwa.
Rekomendacje
Organizacje wdrażające przeglądarki agentowe powinny traktować je jak komponent uprzywilejowany i wysokiego ryzyka. Konieczne jest ograniczanie uprawnień do absolutnego minimum, zwłaszcza w odniesieniu do poczty, menedżerów haseł, sesji uwierzytelnionych, systemów finansowych i danych wrażliwych.
Ważne jest także rozdzielanie środowisk. Przeglądarka AI używana do automatyzacji zadań powinna działać w izolowanym profilu, kontenerze lub wydzielonej stacji roboczej, bez domyślnego dostępu do krytycznych kont i rozszerzeń.
- wymaganie jawnej akceptacji człowieka dla działań wysokiego ryzyka,
- monitorowanie zachowań agenta jak uprzywilejowanej automatyzacji,
- logowanie sekwencji działań i analiza anomalii,
- ograniczanie ekspozycji wewnętrznych sygnałów decyzyjnych i toku rozumowania,
- uwzględnianie prompt injection i ataków web-agentowych w red teamingu.
Klasyczne testy phishingowe mogą okazać się niewystarczające, jeśli organizacja dopuszcza agentów AI do pracy na rzeczywistych danych i usługach. W takim przypadku potrzebny jest osobny model ryzyka oraz wyspecjalizowane procedury kontrolne.
Podsumowanie
Badanie dotyczące Comet pokazuje, że przeglądarki agentowe otwierają nową kategorię zagrożeń, w której przeciwnik nie musi już przede wszystkim oszukiwać człowieka, lecz samą logikę działania agenta AI. Mechanizm „Agentic Blabbering” oraz iteracyjne dostrajanie strony phishingowej na podstawie reakcji modelu znacząco obniżają koszt przygotowania skutecznego ataku.
Dla zespołów bezpieczeństwa to wyraźny sygnał, że AI browsery nie powinny być traktowane wyłącznie jako wygodne narzędzia produktywności. To uprzywilejowane komponenty wykonawcze z dostępem do tożsamości, danych i procesów biznesowych, które wymagają izolacji, ograniczeń uprawnień i dedykowanych kontroli bezpieczeństwa.
Źródła
- The Hacker News — https://thehackernews.com/2026/03/researchers-trick-perplexitys-comet-ai.html
- Zenity Labs — PerplexedBrowser: How Attackers Can Hijack Comet to Takeover your 1Password Vault — https://labs.zenity.io/p/perplexedbrowser-how-attackers-can-weaponize-comet-to-takeover-your-1password-vault
- TechCrunch — OpenAI says AI browsers may always be vulnerable to prompt injection attacks — https://techcrunch.com/2025/12/22/openai-says-ai-browsers-may-always-be-vulnerable-to-prompt-injection-attacks/
- arXiv — WASP: Benchmarking Web Agent Security Against Prompt Injection Attacks — https://arxiv.org/abs/2504.18575
- arXiv — ceLLMate: Sandboxing Browser AI Agents — https://arxiv.org/abs/2512.12594