Skip to main content
Bejelentkezés Regisztráció

Miként lophatják el a pénzed az AI böngészők?

2025.11.14.
Kategóriák: Blog
Cimkék: MI , Mesterséges Intelligencia , AI
Szerző: Péter Balkányi
Miként lophatják el a pénzed az AI böngészők?

Az AI (mesterséges intelligencia) technológiát alkalmazó böngészők egyre népszerűbbek, ezért érdemes odafigyelni a „prompt injection” nevű veszélyforrásra. A nagy nyelvi modellek (LLM-ek), mint amik a ChatGPT-t, Claude-ot vagy Geminit működtetik, beépített kérdésekre vagy utasításokra, azaz ún. „promptra” reagálnak. Egy chatbot esetében a felhasználó kérdései ezek a promptok. Az AI-modellek viszont nem minden esetben tudják jól elkülöníteni a fejlesztők által meghatározott belső utasításokat (mint például: „ne írj zsarolóvírust”) azoktól a parancsoktól, amelyeket a felhasználó ad be nekik.

A veszély bemutatására a Brave böngésző fejlesztői, akiknek saját AI-asszisztense is van (Leo), nemrégiben tesztelték, hogy át lehet-e verni egy AI-böngészőt olyan promptokkal, amelyek ártalmasak lehetnek a felhasználókra nézve. Az eredmények aggasztóak voltak, ahogy a cég saját blogjában írták is:

„Ahogy a felhasználók egyre komfortosabban használják az AI-böngészőket, és kényes adataikat is elérhetővé teszik (például bejelentkezett banki, egészségügyi vagy más kritikus oldalon), a kockázat nő. Mi van akkor, ha a modell meglepetésszerűen olyan lépéseket tesz meg, amiket nem kértünk? Vagy ha egy ártalmatlannak tűnő weboldal, vagy akár egy közösségi médiás kommentelés révén lopja el a belépési adatainkat vagy bizalmas információinkat az AI-asszisztensnek szóló láthatatlan utasításokon keresztül?”

A prompt injection lényegében egy olyan trükk, amikor valaki szándékosan, jól megfogalmazott utasításokat rejt el egy látszólag hétköznapi beszélgetésben vagy adathalmazban, hogy az AI-t rávegye olyasmire, amit eredetileg nem lett volna szabad végrehajtania.

A prompt injection abban tér el a hagyományos hackelési módszerektől, hogy itt a fegyver maga a nyelvhasználat, nem a kód. A támadóknak nem kell feltörniük szervereket vagy klasszikus szoftverhibákat keresniük – elég, ha ügyesen bánnak a szavakkal. Egy AI-böngésző inputjának része lehet a böngészett oldalak tartalma is. Így könnyen előfordulhat, hogy ártalmatlannak tűnő vagy az emberi szem számára láthatatlan (például elrejtett) utasításokkal fertőznek weboldalakat, amelyeket azonban az AI-böngésző parancsként értelmez.

Fontos különbséget tenni AI-böngésző és agentikus böngésző között. Az AI-böngésző olyan szoftver, amely mesterséges intelligenica segítségével segíti a felhasználót: kérdésekre válaszol, cikkeket foglal össze, ajánlásokat tesz, keresési javaslatokat ad. Ezek az eszközök többnyire manuális vezérlést igényelnek, és a felhasználó jóváhagyása szükséges a műveletekhez. Az utóbbi időben azonban elterjedtek az ún. agentikus böngészők. Ezek már nem csak megjelenítik, hanem ténylegesen végre is hajtják a teljes munkafolyamatokat, akár a felhasználó beavatkozása nélkül is. Például, ha azt mondjuk az agentikus böngészőnek: „Keresd meg és foglald le a legolcsóbb repülőjegyet Párizsba jövő hónapra”, a böngésző ténylegesen megteszi ezt – feltéve, hogy minden szükséges adatot megadtunk neki.

Látható, hogy a prompt injection ebben a környezetben különösen veszélyes lehet. Mi van, ha például az agentikus böngésző valamilyen új információhoz jut egy weboldalon? Könnyen előfordulhat, hogy a csalók kizárólag azért üzemeltetnek akciós weboldalt, hogy a böngésző rajta keresztül becsalogasson fizetési adatokat, amelyekkel aztán a felhasználó pénzét saját céljaikra költik el. A Brave a kutatás során rámutatott, hogy például a Perplexity Comet agentikus böngészőben is találtak olyan hibákat, amelyek „aláhúzzák az agentikus AI-megoldások böngészőbe építésének biztonsági kihívásait”. A sebezhetőség lényege, hogy külső tartalmakba (weboldal, PDF stb.) beágyazott rosszindulatú utasítások is előidézhetnek prompt injection támadásokat. Ezeket akár fehér szöveggel, fehér háttéren is elrejthetik, amit az AI „elolvas”, de az emberi felhasználó csak nagyítóval fedezne fel. Ahogy egy felhasználó az X-en megfogalmazta:

AI böngésző
Mesterséges intelligenciát használó web böngésző, amely segíti a felhasználót kérdések megválaszolásában, keresésekben, ajánlásokban, de általában manuális irányítást igényel a feladatok végrehajtásakor.

Agentikus böngésző
Fejlettebb AI böngésző, amely autonóm módon képes összetett, többlépéses feladatok (pl. jegyfoglalás, űrlapkitöltés) elvégzésére minimális vagy semmilyen felhasználói beavatkozás nélkül.

Prompt injection (utasítás-injektálás)
Olyan támadási technika, amely során rosszindulatú bemenetet rejtenek el a promptban vagy a weboldalon található tartalomban, hogy az AI olyan műveletet hajtson végre, amit eredetileg nem szántak neki.

Indirekt prompt injection
Prompt injection egy formája, amikor a rosszindulatú utasításokat külső, látszólag ártalmatlan forrásból, például weboldalak vagy dokumentumok tartalmából ágyazzák be úgy, hogy az AI asszisztens feldolgozza.

Fehér szöveg fehér háttéren
Egy módszer a rosszindulatú szöveg elrejtésére a weboldalakon, amely ember számára láthatatlan, de az AI rendszerek által feldolgozásra kerül.

Ártalmatlan megjelenésű tartalom
Olyan szöveg, komment vagy weboldal, amely elsőre nem tűnik veszélyesnek, ám valójában rosszindulatú utasítást tartalmazhat.

„Szó szerint prompt injection áldozata lehetsz, és lenullázhatják a bankszámládat, ha csak doomscrollozol a Redditen.”

Az ilyen támadások kivédéséhez alapvető, hogy az agentikus böngésző pontosan felismerje a különbséget a felhasználó által adott utasítások és a webtartalom között és ennek megfelelően külön kezelje azokat. A Perplexity már kétszer próbálta javítani a Brave által jelzett biztonsági hibát, de a sebezhetőség cikk megjelenésekor még nem sikerült véglegesen elhárítani a támadást.

Biztonságos agentikus böngészőhasználat

A legújabb technológiák kipróbálása figyelemmel jár. Az agentikus böngészők használata esetén az alábbiak segítenek a kockázat csökkentésében:

  1. Csak akkor adjunk engedélyt érzékeny adathoz vagy rendszervezérléshez, ha tényleg szükséges. Érdemes rendszeresen átnézni, milyen adatokat, fiókokat érhet el a böngésző, és minimalizálni a jogosultságokat.
  2. Mielőtt automatikusan interakcióba lépne ismeretlen oldalakkal, mindig ellenőrizzük a forrást, linkeket, parancsokat. Legyünk óvatosak a hirtelen átirányításokkal, váratlan adatbekérő kérésekkel.
  3. Mindig frissítsük a böngészőt és AI-eszközeinket a legújabb verzióra, hogy a legfrissebb biztonsági javítások érvényesüljenek, különösen prompt injection elleni védelem miatt.
  4. Használjunk erős többfaktoros hitelesítést a böngészővel összekötött fiókoknál, és rendszeresen ellenőrizzük a tevékenységnaplókat.
  5. Ismerjük meg a prompt injection veszélyeit, és folyamatosan tájékozódjunk a legújabb fenyegetésekről és biztonsági gyakorlatokról. Az informáltság az első lépés a megelőzéshez.
  6. Érzékeny műveletek (pl. fizetések) automatizálását korlátozzuk; inkább manuálisan ellenőrizzük a nagyobb pénzügyi vagy kritikus döntéseket. Példa: Ne hagyjuk, hogy a böngésző saját hatáskörben költsön nagy összegeket vagy fizessen anélkül, hogy azt kifejezetten jóváhagynánk.
  7. Gyanús vagy váratlan viselkedés esetén jelezzük azt a fejlesztők vagy IT-biztonsági szakemberek felé.

Kategóriák

Korábbi bejegyzések
Archive
Cimkék