در میان انفجار سیستم‌های هوش مصنوعی، مرورگرهای وب مبتنی بر AI مانند Fellou و Comet (از Perplexity) شروع به ظهور روی دسکتاپ‌های سازمانی کرده‌اند. چنین برنامه‌هایی به عنوان تکامل بعدی «مرورگر ساده» توصیف می‌شوند و با ویژگی‌های داخلی هوش مصنوعی عرضه می‌شوند؛ آن‌ها می‌توانند صفحات وب را بخوانند و خلاصه کنند – و در پیشرفته‌ترین حالت خود – به طور خودمختار بر اساس محتوAY وب عمل کنند.

حداقل در تئوری، وعده‌ی یک مرورگر AI این است که جریان‌های کاری دیجیتال را تسریع کند، تحقیقات آنلاین انجام دهد و اطلاعات را از منابع داخلی و اینترنت گسترده بازیابی نماید.

با این حال، تیم‌های تحقیقات امنیتی در حال نتیجه‌گیری هستند که مرورگرهای AI خطرات جدی را وارد سازمان‌ها می‌کنند که به سادگی نمی‌توان آن‌ها را نادیده گرفت.

مشکل در این واقعیت نهفته است که مرورگرهای AI به شدت در برابر حملات تزریق پرامپت غیرمستقیم (indirect prompt injection) آسیب‌پذیر هستند. این حملات زمانی رخ می‌دهند که مدل موجود در مرورگر (یا مدلی که از طریق مرورگر به آن دسترسی پیدا می‌شود) دستورالعمل‌هایی را دریافت می‌کند که در وب‌سایت‌های با طراحی خاص، پنهان شده‌اند. با جاسازی متن در صفحات وب یا تصاویر به روش‌هایی که تشخیص آن برای انسان دشوار است، می‌توان دستورالعمل‌هایی را در قالب پرامپت‌های AI یا اصلاحیه‌هایی بر پرامپت‌هایی که توسط کاربر وارد می‌شود، به مدل‌های هوش مصنوعی خوراند.

نتیجه نهایی برای بخش‌های IT و تصمیم‌گیرندگان این است که مرورگرهای AI هنوز برای استفاده در محیط سازمانی مناسب نیستند و یک تهدید امنیتی قابل توجه محسوب می‌شوند.

وقتی اتوماسیون با آسیب‌پذیری تلاقی می‌کند

در آزمایش‌ها، محققان دریافتند که متن جاسازی‌شده در محتوای آنلاین توسط مرورگر AI پردازش شده و به عنوان دستورالعمل برای مدل هوشمند تفسیر می‌شود. این دستورالعمل‌ها می‌توانند با استفاده از سطح دسترسی کاربر اجرا شوند؛ بنابراین، هرچه میزان دسترسی کاربر به اطلاعات بیشتر باشد، ریسک برای سازمان نیز بیشتر است. خودمختاری که هوش مصنوعی به کاربران می‌دهد، همان مکانیزمی است که سطح حمله (attack surface) را بزرگ‌تر می‌کند، و هرچه خودمختاری بیشتر باشد، دامنه بالقوه برای از دست دادن داده‌ها نیز گسترده‌تر است.

به عنوان مثال، امکان جاسازی دستورات متنی در یک تصویر وجود دارد که وقتی در مرورگر نمایش داده می‌شود، می‌تواند یک دستیار هوش مصنوعی را تحریک کند تا با دارایی‌های حساس مانند ایمیل سازمانی یا داشبوردهای بانکداری آنلاین تعامل داشته باشد. آزمایش دیگری نشان داد که چگونه پرامپت یک دستیار AI می‌تواند ربوده شده و وادار به انجام اقدامات غیرمجاز از طرف کاربر شود.

این نوع آسیب‌پذیری‌ها به وضوح با تمام اصول راهبری داده (data governance) در تضاد هستند و بارزترین نمونه از این هستند که چگونه «هوش مصنوعی در سایه» (shadow AI) در قالب یک مرورگر غیرمجاز، تهدیدی واقعی برای داده‌های سازمان ایجاد می‌کند. مدل هوش مصنوعی به عنوان پلی بین دامنه‌ها عمل کرده و سیاست‌های تک-مبدا (same-origin policies) – قانونی که از دسترسی یک دامنه به داده‌های دامنه دیگر جلوگیری می‌کند – را دور می‌زند.

چالش‌های پیاده‌سازی و راهبری

ریشه مشکل در ادغام پرس‌وجوهای کاربر در مرورگر با داده‌های زنده‌ای است که در وب به آن‌ها دسترسی پیدا می‌شود. اگر مدل زبان بزرگ (LLM) نتواند بین ورودی ایمن و مخرب تمایز قائل شود، می‌تواند به سادگی به داده‌هایی دسترسی پیدا کند که توسط اپراتور انسانی‌اش درخواست نشده و بر اساس آن‌ها اقدام کند. هنگامی که به آن قابلیت‌های عاملی (agentic abilities) (توانایی اقدام مستقل) داده شود، عواقب آن می‌تواند بسیار گسترده باشد و به راحتی باعث ایجاد یک آبشار از فعالیت‌های مخرب در سراسر سازمان شود.

برای هر سازمانی که به بخش‌بندی داده‌ها و کنترل دسترسی متکی است، یک لایه هوش مصنوعی به خطر افتاده در مرورگر کاربر می‌تواند فایروال‌ها را دور بزند، تبادلات توکن (token) را اجرا کند و دقیقاً مانند یک کاربر، از کوکی‌های امن استفاده نماید. در عمل، مرورگر AI به یک تهدید داخلی (insider threat) تبدیل می‌شود که به تمام داده‌ها و امکانات اپراتور انسانی خود دسترسی دارد. کاربر مرورگر لزوماً از فعالیت‌های «زیرپوستی» آگاه نخواهد بود، بنابراین یک مرورگر آلوده ممکن است برای دوره‌های زمانی قابل توجهی بدون شناسایی شدن، فعالیت کند.

کاهش تهدید

تیم‌های IT باید با نسل اول مرورگرهای AI، همان‌گونه رفتار کنند که با نصب غیرمجاز نرم‌افزارهای شخص ثالث برخورد می‌کنند. اگرچه جلوگیری از نصب نرم‌افزارهای خاص توسط کاربران نسبتاً آسان است، اما شایان ذکر است که مرورگرهای اصلی مانند کروم و اج در حال ارائه تعداد فزاینده‌ای از ویژگی‌های AI در قالب Gemini (در کروم) و Copilot (در اج) هستند. شرکت‌های سازنده مرورگر فعالانه در حال بررسی قابلیت‌های مرور وب تقویت‌شده با هوش مصنوعی هستند و ویژگی‌های عاملی (agentic) (که خودمختاری قابل توجهی به مرورگر می‌بخشد) به سرعت، ناشی از نیاز به مزیت رقابتی بین شرکت‌های مرورگر، ظاهر خواهند شد.

بدون نظارت و کنترل‌های مناسب، سازمان‌ها خود را در معرض ریسک قابل توجهی قرار می‌دهند. نسل‌های آینده مرورگرها باید برای ویژگی‌های زیر بررسی شوند:

• جداسازی پرامپت (Prompt isolation): جداسازی نیت کاربر از محتوای وب شخص ثالث، قبل از تولید پرامپت برای LLM.
• مجوزهای کنترل‌شده (Gated permissions): عامل‌های AI نباید قادر به اجرای اقدامات خودمختار، از جمله ناوبری، بازیابی داده، یا دسترسی به فایل بدون تأیید صریح کاربر باشند.
• سندباکسینگ (Sandboxing) مرور حساس: (مانند HR، مالی، داشبوردهای داخلی و غیره) تا هیچ فعالیت هوش مصنوعی در این مناطق حساس وجود نداشته باشد.
• یکپارچه‌سازی راهبری (Governance integration): هوش مصنوعی مبتنی بر مرورگر باید با سیاست‌های امنیتی داده همسو باشد و نرم‌افزار باید سوابقی را برای قابل ردیابی کردن اقدامات عاملی (agentic) ارائه دهد.

تا به امروز، هیچ فروشنده مرورگری، یک مرورگر هوشمند با قابلیت تشخیص بین نیت کاربر (user-driven intent) و دستورات تفسیر شده توسط مدل (model-interpreted commands) ارائه نکرده است. بدون این قابلیت، مرورگرها ممکن است با استفاده از تزریق پرامپت نسبتاً پیش پا افتاده، مجبور به اقدام علیه سازمان شوند.

نکته کلیدی برای تصمیم‌گیرندگان

مرورگرهای AI عاملی (Agentic) به عنوان تکامل منطقی بعدی در مرور وب و اتوماسیون در محیط کار معرفی می‌شوند. آن‌ها عمداً طوری طراحی شده‌اند که تمایز بین فعالیت کاربر/انسان را محو کنند و بخشی از تعاملات با دارایی‌های دیجیتال سازمان شوند. با توجه به سهولتی که LLMها در مرورگرهای AI دور زده و فاسد می‌شوند، نسل فعلی مرورگرهای AI را می‌توان به عنوان بدافزار خفته (dormant malware) در نظر گرفت.

به نظر می‌رسد فروشندگان بزرگ مرورگر قصد دارند هوش مصنوعی (با یا بدون قابلیت‌های عاملی) را در نسل‌های آینده پلتفرم‌های خود جاسازی کنند، بنابراین باید نظارت دقیقی بر هر نسخه برای اطمینان از نظارت امنیتی انجام شود.

(منبع تصویر: «بمب منفجر نشده!» اثر hugh llewelyn تحت مجوز CC BY-SA 2.0.)

منبع مقاله : (+)