- 20,151
- 44
- 8 Ноя 2022
ИИ-расширения для Chrome оказались уязвимы, но вы всё равно можете их протестировать за $200.
Компания Anthropic предупредила о новой угрозе, которая приходит вместе с «умными» расширениями для браузеров — сайты могут незаметно подсовывать скрытые команды, а ИИ-агент выполнит их без раздумий. Anthropic представила исследовательскую версию расширения Claude для Chrome и одновременно опубликовала результаты внутренних проверок: при работе в браузере модели поддаются инъекциям команд в 23,6% тестовых случаев без защит. На фоне этих цифр вспыхнула дискуссия о том, можно ли вообще безопасно встраивать автономные ИИ-агенты в веб-обозреватели.
Расширение открывает боковую панель с постоянным контекстом происходящего во вкладках и по запросу получает доступ к действиям — от записи встреч и рассылки ответов до подготовки отчётов по расходам и проверки функций сайтов. Доступ на стороне пользователя регулируется разрешениями, а сама новинка распространяется только как ранний предпросмотр для тысячи подписчиков плана Max стоимостью от $100 до $200 в месяц, для остальных открыт лист ожидания.
Проект опирается на функцию Computer Use, запущенную в октябре 2024 года. Тогда Claude умел делать скриншоты и буквально двигать курсор за человека, теперь интеграция стала глубже — агент работает прямо внутри Chrome, не имитируя клики снаружи.
Проверки безопасности охватили 123 кейса, сгруппированные в 29 сценариев атак. Без дополнительных ограничений модели поддавались внедрённым инструкциям в 23,6% попыток. В одном из примеров вредоносное письмо убеждало ассистента удалить входящие «ради гигиены ящика» — и без сдерживающих механизмов агент действительно стирал сообщения без уточнений.
Чтобы снизить риск, Anthropic добавила несколько слоёв защиты. Пользователь может выдавать и отзывать доступ к конкретным сайтам, перед публикацией, покупкой или передачей персональных данных агент запрашивает подтверждение, а категории финансовых сервисов, контента для взрослых и площадок с пиратскими материалами по умолчанию закрыты. По итогам повторных тестов показатель успешности атак в автономном режиме снизился до 11,2%, а в отдельной серии из четырёх чисто браузерных техник новая логика свела результат с 35,7% до 0.
Независимый разработчик Саймон Уиллиссон оценил оставшиеся 11,2% как недопустимо высокий риск и считает, что сама идея агентского расширения для браузера изначально уязвима. По мнению специалиста, без абсолютно надёжных барьеров такой подход неизбежно приведёт к злоупотреблениям.
Опасения подкрепляет опыт конкурентов. Команда безопасности Brave недавно показала, что браузер Comet от Perplexity можно склонить к несанкционированным действиям, пряча инструкции в постах на Reddit. Стоило пользователю попросить агент пересказать обсуждение, как тот открывал Gmail в соседней вкладке, вытаскивал адрес и запускал процедуры восстановления доступа. Попытка Perplexity закрыть дыру оказалась неудачной — Brave сообщила, что обойти предложенные меры всё равно удалось.
Anthropic намерена использовать ограниченный предпросмотр, чтобы собрать реальные паттерны атак и доработать защиту до широкой доступности. Однако при нынешнем уровне зрелости риски фактически перекладываются на пользователя, который запускает такого помощника в открытом вебе на свой страх и риск. Уиллиссон отмечает, что ожидать от людей грамотной оценки всех угроз в такой динамичной модели — нереалистично, поэтому вопрос безопасности должен решаться на стороне самих вендоров до выхода в массовый режим.
Компания Anthropic предупредила о новой угрозе, которая приходит вместе с «умными» расширениями для браузеров — сайты могут незаметно подсовывать скрытые команды, а ИИ-агент выполнит их без раздумий. Anthropic представила исследовательскую версию расширения Claude для Chrome и одновременно опубликовала результаты внутренних проверок: при работе в браузере модели поддаются инъекциям команд в 23,6% тестовых случаев без защит. На фоне этих цифр вспыхнула дискуссия о том, можно ли вообще безопасно встраивать автономные ИИ-агенты в веб-обозреватели.
Расширение открывает боковую панель с постоянным контекстом происходящего во вкладках и по запросу получает доступ к действиям — от записи встреч и рассылки ответов до подготовки отчётов по расходам и проверки функций сайтов. Доступ на стороне пользователя регулируется разрешениями, а сама новинка распространяется только как ранний предпросмотр для тысячи подписчиков плана Max стоимостью от $100 до $200 в месяц, для остальных открыт лист ожидания.
Проект опирается на функцию Computer Use, запущенную в октябре 2024 года. Тогда Claude умел делать скриншоты и буквально двигать курсор за человека, теперь интеграция стала глубже — агент работает прямо внутри Chrome, не имитируя клики снаружи.
Проверки безопасности охватили 123 кейса, сгруппированные в 29 сценариев атак. Без дополнительных ограничений модели поддавались внедрённым инструкциям в 23,6% попыток. В одном из примеров вредоносное письмо убеждало ассистента удалить входящие «ради гигиены ящика» — и без сдерживающих механизмов агент действительно стирал сообщения без уточнений.
Чтобы снизить риск, Anthropic добавила несколько слоёв защиты. Пользователь может выдавать и отзывать доступ к конкретным сайтам, перед публикацией, покупкой или передачей персональных данных агент запрашивает подтверждение, а категории финансовых сервисов, контента для взрослых и площадок с пиратскими материалами по умолчанию закрыты. По итогам повторных тестов показатель успешности атак в автономном режиме снизился до 11,2%, а в отдельной серии из четырёх чисто браузерных техник новая логика свела результат с 35,7% до 0.
Независимый разработчик Саймон Уиллиссон оценил оставшиеся 11,2% как недопустимо высокий риск и считает, что сама идея агентского расширения для браузера изначально уязвима. По мнению специалиста, без абсолютно надёжных барьеров такой подход неизбежно приведёт к злоупотреблениям.
Опасения подкрепляет опыт конкурентов. Команда безопасности Brave недавно показала, что браузер Comet от Perplexity можно склонить к несанкционированным действиям, пряча инструкции в постах на Reddit. Стоило пользователю попросить агент пересказать обсуждение, как тот открывал Gmail в соседней вкладке, вытаскивал адрес и запускал процедуры восстановления доступа. Попытка Perplexity закрыть дыру оказалась неудачной — Brave сообщила, что обойти предложенные меры всё равно удалось.
Anthropic намерена использовать ограниченный предпросмотр, чтобы собрать реальные паттерны атак и доработать защиту до широкой доступности. Однако при нынешнем уровне зрелости риски фактически перекладываются на пользователя, который запускает такого помощника в открытом вебе на свой страх и риск. Уиллиссон отмечает, что ожидать от людей грамотной оценки всех угроз в такой динамичной модели — нереалистично, поэтому вопрос безопасности должен решаться на стороне самих вендоров до выхода в массовый режим.
- Источник новости
- www.securitylab.ru
