Исследование USENIX Security Symposium, опубликованное в августе 2025 года, показало, что популярные расширения браузера с искусственным интеллектом собирают конфиденциальные данные пользователей, включая медицинские записи, банковскую информацию, номера социального страхования и активность в социальных сетях. Анализ провели исследователи из Университетского колледжа Лондона, Медитерранского университета Реджо-Калабрии и Калифорнийского университета в Дэвисе. Результаты выявили риски конфиденциальности в веб-браузерах с поддержкой ИИ, которые получили распространение с момента их появления в 2025 году. Браузеры с поддержкой ИИ, такие как Atlas от OpenAI и Comet от Perplexity, предлагают такие функции, как сводки веб-сайтов, уточненный поиск, чат-боты и автономное выполнение задач. Эти инструменты бросают вызов устоявшимся браузерам, включая Google Chrome, которому принадлежит 70 процентов мирового рынка, Safari, Edge и Firefox. Среди других участников — интеграции Opera Neon, Dai и ChatGPT. McKinsey & Company прогнозирует, что к 2028 году индустрия браузеров принесет доход в размере 750 миллиардов долларов. Браузеры с искусственным интеллектом функционируют посредством постоянных чат-ботов, которые анализируют открытые веб-страницы, и агентных режимов, которые решают такие задачи, как заполнение форм, покупки на Amazon или редактирование эссе. Они обрабатывают содержимое веб-страницы вместе с предыдущими запросами, историей поиска и взаимодействиями без инструкций пользователя. Расширения браузера служат интерфейсами для таких моделей, как ChatGPT от OpenAI, Gemini от Google и Llama от Meta. Расширения внедряют сценарии контента в веб-страницы с помощью фоновых сервисов, обеспечивая автономное сбор данных. Это отличается от веб-чат-ботов, которые обрабатывают только данные, вводимые пользователем. Исследование USENIX было сосредоточено на расширениях браузера, а не на полноценных браузерах, поскольку такие лидеры, как Atlas и Comet, начали работу после его завершения. Рассмотренные расширения включали ChatGPT для Google, Sider, Monica, Merlin, MaxAI, Perplexity, HARPA, TinaMind и Microsoft Copilot. Исследователи смоделировали просмотр информации в частном и публичном контексте: чтение новостей, просмотр видеороликов на YouTube, просмотр порнографии и заполнение налоговых форм. Расширения захватывали изображения и текст, например медицинские диагнозы, номера социального страхования и настройки приложений для знакомств. Мерлин передал банковские реквизиты и медицинские записи. AI Merlin и Sider фиксировал активность даже в режимах приватного просмотра. Анализ трафика после расшифровки показал передачу на серверы компании и сторонние трекеры. Sider и TinaMind делились подсказками пользователей и IP-адресами с Google Analytics, что облегчало межсайтовое отслеживание. Microsoft Copilot сохранял историю чатов между сеансами в хранилище браузера. Google, Copilot, Monica, ChatGPT и Sider профилировали пользователей по возрасту, полу, доходу и интересам для персонализированных ответов в течение нескольких сеансов. Perplexity оказался наиболее уважающим конфиденциальность среди протестированных инструментов. Он не помнит предыдущие взаимодействия, а его серверы не допускают попадания личных данных в частные пространства. Perplexity по-прежнему обрабатывает заголовки страниц и местоположение пользователя. После исследования OpenAI выпустила Atlas. OpenAI утверждает, что Atlas выборочно анализирует контент, но обрабатывает все изображения и текст веб-сайта. Дополнительные функции памяти сохраняют элементы истории просмотров для индивидуальной настройки. Пользователи не могут указать, какие аспекты сайта извлекает браузер. На странице справки OpenAI рекомендуется удалить страницы из окна чата, заблокировать конфиденциальные URL-адреса или удалить историю, чтобы ограничить воздействие. Atlas включает две настройки, связанные с данными. «Улучшить модель для всех» активируется по умолчанию и позволяет OpenAI использовать данные веб-страницы из запросов чат-бота для обучения ChatGPT. «Включить просмотр веб-страниц» включает в обучение полную историю посещений. OpenAI анонимизирует данные перед использованием в обучении, хотя детали границ остаются ограниченными. Пользователи могут отключить обе настройки. Comet от Perplexity хранит историю поиска локально на пользовательских устройствах, а не на серверах. Он получает доступ к URL-адресам, тексту, изображениям, поисковым запросам, истории загрузок и файлам cookie для основных функций. Агентный режим Comet и инструмент памяти анализируют историю поиска и предпочтения. Браузер запрашивает доступ к учетной записи Google, включая электронную почту, контакты, настройки и календари, с возможностью сторонней интеграции. На странице пояснений Perplexity подробно описаны настройки данных. Эксперты рекомендуют ограничить боковую панель чат-бота неконфиденциальными страницами. Компании, занимающиеся искусственным интеллектом, часто перепрофилируют сохраненные пользовательские данные для обучения масштабным языковым моделям без явного согласия. Эта практика распространяется не только на искусственный интеллект, но и на социальные сети, розничную торговлю, поисковые системы и службы обмена сообщениями посредством непрозрачных соглашений и подписок по умолчанию. Браузеры получают доступ к более конфиденциальной информации, чем другие платформы. В первой половине 2025 года OpenAI выполнила 105 запросов данных правительства США. Уязвимости безопасности усугубляют проблемы конфиденциальности. Атаки с быстрым внедрением позволяют хакерам встраивать вредоносный контент в серверную часть браузера, неотличимый от законных входных данных. Они позволяют осуществлять фишинг и кражу учетных данных, банковских реквизитов и личных данных. Исследование Brave, проведенное в октябре 2025 года, описало быстрые инъекции как системную проблему для браузеров с искусственным интеллектом, увеличивающую риски фишинга. LayerX Security сообщила, что пользователи Perplexity Comet сталкиваются с на 85 процентов большей уязвимостью к таким атакам по сравнению с пользователями Chrome. Директор по информационным технологиям OpenAI Дэйн Стаки заявил на X, что быстрое внедрение «остается передовой, нерешенной проблемой безопасности». Блог Perplexity призвал компании, занимающиеся искусственным интеллектом, «переосмыслить безопасность с нуля». Исследователи USENIX протестировали расширения в контролируемых сценариях для измерения сбора данных. При просмотре новостей расширения регистрировали текст и изображения статей. Сеансы YouTube привели к захвату миниатюр видео и очистке комментариев. Порнографические сайты привели к записи изображений и предпочтений. Моделирование налоговых форм выявило номера социального страхования и финансовые детали. Расшифрованный трафик от Мерлина показал передачу в виде открытого текста медицинских записей, включая диагнозы, такие как заметки по лечению диабета, а также банковские входы с номерами счетов. Пакеты Sider AI включали IP-адреса в сочетании с подсказками, содержащими личные идентификаторы. TinaMind направила аналогичные данные на конечные точки Google Analytics. В локальном хранилище Copilot хранились журналы разговоров, включая запросы о финансовом планировании, связанные с подробностями доходов с предыдущих сайтов. Примеры профилирования включали в себя определение Sider пола пользователя по торговым сайтам и возраста по новостным предпочтениям и применение этих данных к рекомендациям, похожим на рекламу. Ограничения Perplexity не позволяли использовать межсессионную память, блокируя профилирование. Журналы его сервера содержали только метаданные, такие как заголовки страниц («Вход — Bank of America») и координаты геолокации, без полезной нагрузки контента из частных вкладок. Документация Atlas подтверждает распознавание изображений и извлечение текста на всех вкладках. Снимки памяти включают списки URL-адресов и сводные истории, например «Посещенная корзина Amazon с электроникой». Согласно раскрытиям OpenAI, участники обучения обрабатывают данные через конвейеры анонимизации, хеширования IP-адресов и агрегирования сеансов. Локальное хранилище Comet использует IndexedDB для истории, при необходимости синхронизируясь с учетными записями Perplexity. Для интеграции с Google требуются области OAuth для доступа на чтение и запись к Gmail и Календарю. Сторонние инструменты, такие как Zapier, подключаются через ключи API. Правительственные запросы к OpenAI включали повестки в суд для расследования угроз и ордера национальной безопасности, охватывающие 6000 учетных записей пользователей. В журналах соответствия подробно описаны типы данных: чаты, файлы и трассировки IP. Октябрьский анализ Brave смоделировал 500 попыток внедрения вируса в разных браузерах. Модели искусственного интеллекта выполнили 72 процента вредоносных запросов по сравнению с 4 процентами в традиционных браузерах. LayerX протестировал 1200 пользователей: сеансы Comet дали 2,1 эксплойта в час, Chrome 1.1. Механика внедрения расширений опирается на сервисных работников Manifest V3, предоставляющих широкие разрешения для вкладок. Автономия возникает из-за того, что «content_scripts» соответствует всем URL-адресам и передает деревья DOM в LLM. Рыночный контекст показывает, что доля Chrome составляет 70 процентов по данным StatCounter на конец 2025 года. Браузеры с искусственным интеллектом захватили 12 процентов в совокупности, согласно данным LikeWeb. Интеграция Firefox с искусственным интеллектом увеличила его долю до 8 процентов.

  Полиция Нью-Йорка демонстрирует свою собаку-робота в действии

Source: Крупное исследование USENIX показало, что расширения браузера с искусственным интеллектом крадут ваши данные