Chrome e navegadores com IA apresentam vulnerabilidades de segurança, revela pesquisa
Riscos de segurança em navegadores com Inteligência Artificial são destacados em nova pesquisa.
A crescente integração da Inteligência Artificial (IA) em navegadores promete facilitar diversas tarefas online, como organizar viagens e executar ações de forma automatizada. No entanto, um estudo recente revelou que essa conveniência pode vir acompanhada de sérios riscos à segurança dos dados dos usuários.
A pesquisa, que avaliou navegadores com IA integrada, identificou vulnerabilidades que podem permitir o acesso não autorizado a informações sensíveis durante o uso dessas ferramentas. Os sistemas funcionam como assistentes, realizando buscas e abrindo páginas, mas essa autonomia pode expor os usuários a ameaças cibernéticas.
O estudo analisou sete navegadores que incorporam agentes de IA e descobriu que quatro deles apresentavam falhas significativas. Em algumas situações, foi possível contornar a política de mesma origem, um mecanismo que é fundamental para proteger a troca de dados entre diferentes sites.
Falhas na “política de mesma origem”
Durante os testes, os pesquisadores utilizaram um ataque de prova de conceito com o ChatGPT Atlas, onde um site malicioso conseguiu acessar informações sensíveis do usuário. Comportamentos semelhantes foram observados em navegadores como Chrome com Gemini, Claude para Chrome e Perplexity Comet.
Os navegadores com menos permissões para agentes de IA mostraram ser os mais seguros, indicando que a configuração de permissões é crucial para a proteção dos dados dos usuários.
Como os ataques acontecem na prática
O principal problema identificado é a injeção de prompt, onde páginas maliciosas escondem instruções que o agente de IA pode interpretar como comandos legítimos. Essa técnica pode ser utilizada de diversas formas, incluindo:
- Instruções ocultas que influenciam o comportamento do agente;
- Exploração de permissões entre abas e conteúdos incorporados;
- “Envenenamento de memória”, que interfere em ações futuras;
- Combinação indevida de dados de diferentes fontes.
Os agentes de navegador não estão prontos para o público. Mesmo usuários experientes podem ser afetados se esses sistemas tiverem acesso a credenciais como e-mail ou banco. Ainda não há confiança suficiente nesses mecanismos.
David Kohlbrenner, pesquisador da Universidade de Washington e coautor sênior do estudo, em nota.
O que os pesquisadores alertam
Os pesquisadores enfatizam que a política de mesma origem é fundamental para a proteção das informações nos navegadores modernos. O isolamento entre sites é uma das bases da segurança na web e deve ser mantido para garantir a proteção dos dados dos usuários.
A conclusão do estudo é clara: embora os navegadores com IA estejam avançando rapidamente em suas capacidades, a segurança ainda não evoluiu na mesma proporção, o que levanta preocupações sobre a proteção das informações dos usuários.
