Los navegadores web de IA abren la puerta a riesgos de seguridad nunca vistos

Los navegadores de IA como Atlas de OpenAI y Comet de Perplexity prometen comodidad. Pero vienen con importantes riesgos de ciberseguridad, formando un nuevo campo de juego para los hackers.

Los navegadores Web impulsados por IA compiten con navegadores tradicionales como Google Chrome y Brave, con el objetivo de atraer a miles de millones de usuarios diarios de internet.

Hace unos días, OpenAI lanzó Atlas, mientras que Comet de Perplexity ha estado disponible durante meses. Los navegadores impulsados por IA pueden escribir y hacer clic a través de páginas. Los usuarios pueden pedirle que reserve un vuelo, resuma correos electrónicos o incluso complete un formulario.

Básicamente, los navegadores impulsados por IA están diseñados para actuar como asistentes digitales y navegar por la web de forma autónoma. Están siendo aclamados como el próximo gran salto en la productividad en línea.

Investigadores de seguridad señalan fallos en los navegadores de IA

Pero la mayoría de los consumidores desconocen los riesgos de seguridad que conlleva el uso de navegadores de IA. Estos navegadores son vulnerables a hackeos sofisticados a través de un nuevo fenómeno llamado inyección de instrucciones.

Los hackers pueden explotar los navegadores web de IA, obtener acceso a las sesiones iniciadas de los usuarios y realizar acciones no autorizadas. Por ejemplo, los hackers pueden acceder a correos electrónicos, cuentas de redes sociales o incluso ver detalles bancarios y mover fondos.

Según investigaciones recientes de Brave, los hackers pueden incrustar instrucciones ocultas dentro de páginas web o incluso imágenes. Cuando un Agente de IA analiza este contenido y ve las instrucciones ocultas, puede ser engañado para ejecutarlas como si fueran comandos legítimos del usuario. Los navegadores web de IA no pueden distinguir entre instrucciones genuinas y falsas.

Los ingenieros de Brave experimentaron con Comet de Perplexity y probaron su reacción a la inyección de instrucciones. Se descubrió que Comet procesa texto invisible oculto dentro de capturas de pantalla. Este enfoque permite a los atacantes controlar herramientas de navegación y extraer datos de usuarios con facilidad.

Los ingenieros de Brave calificaron estas vulnerabilidades como un "desafío sistémico al que se enfrenta toda la categoría de navegadores impulsados por IA".

La inyección de instrucciones es difícil de solucionar

Los investigadores de seguridad e ingenieros dicen que la inyección de instrucciones es difícil de solucionar. Esto se debe a que los modelos de inteligencia artificial no entienden de dónde provienen las instrucciones. No pueden diferenciar entre instrucciones genuinas y falsas.

El software tradicional puede distinguir entre entradas seguras y código malicioso, pero los modelos de lenguaje grandes (LLMs) tienen dificultades con eso. Los LLMs procesan todo, incluidas las solicitudes de usuarios, texto de sitios web e incluso datos ocultos, y lo tratan como una gran conversación.

Por eso la inyección de instrucciones es peligrosa. Los hackers pueden ocultar fácilmente instrucciones falsas dentro de contenido que parece seguro y robar información sensible.

Las empresas de IA admiten que la inyección de instrucciones es una amenaza seria

Perplexity declaró que tales ataques no dependen de código o contraseñas robadas, sino que manipulan el "proceso de pensamiento" de la IA. La empresa construyó múltiples capas de defensa alrededor de Comet para detener ataques de inyección de instrucciones. Utiliza modelos de aprendizaje automático que detectan amenazas en tiempo real y ha integrado instrucciones de protección que mantienen a la IA enfocada en la intención del usuario. Además, el navegador requiere confirmación obligatoria del usuario para acciones sensibles como enviar un correo electrónico o comprar un artículo.

Los investigadores de seguridad creen que no se debe confiar en los navegadores impulsados por IA con cuentas sensibles o datos personales hasta que se implementen mejoras importantes. Los usuarios aún pueden utilizar navegadores web de IA, pero sin acceso a herramientas, con acciones automatizadas desactivadas, y deberían evitar usarlos cuando estén conectados a cuentas bancarias, correos electrónicos o aplicaciones de salud.

El Director de Seguridad de la Información (CISO) de OpenAI, Dane Stuckey, reconoció los peligros de la inyección de instrucciones y escribió en X: "Un riesgo emergente que estamos investigando y mitigando muy cuidadosamente son las inyecciones de instrucciones, donde los atacantes ocultan instrucciones maliciosas en sitios web, correos electrónicos u otras fuentes para intentar engañar al agente para que se comporte de formas no deseadas".

Explicó que el objetivo de OpenAI es hacer que las personas "confíen en los agentes de ChatGPT para usar su navegador, de la misma manera que confiarían en su colega o amigo más competente, confiable y consciente de la seguridad". Stuckey dijo que el equipo de OpenAI está "trabajando duro para lograrlo".

Mejora tu estrategia con mentoría + ideas diarias - 30 días de acceso gratuito a nuestro programa de trading