Advarer: – Ikke bruk KI-nettlesere som ChatGPT Atlas!

– Hvis du vurderer å bruke en ny KI-nettleser, så please don’t, skriver Tanet Trimas, som mener de ikke er trygge nok.

Selv om OpenAI mener sin Atlas er trygg å bruke, tviler Tanet Trimas.
Tanet Trimas
utvikler, Yne
Publisert

✍ leserinnlegg

Dette er et leserinnlegg fra en ekstern skribent, som betyr at innholdet ikke nødvendigvis speiler kode24s meninger. Vil du også bidra? Send oss en epost på [email protected], eller les mer her!

AI-baserte nettlesere som ChatGPT Atlas og Perplexity Comet har i det siste inntatt markedet med store løfter. 

De markedsføres som digitale assistenter som kan gjøre det meste for deg: handle varer, betale regninger, booke flyreiser og hotell helt automatisk og uten tastetrykk. 

Men i begeistringen overser vi et spørsmål som burde være helt grunnleggende:

Hvordan vet vi at det er trygt?

Nettleseren ble ikke trygg av seg selv

Nettleserne vi er kjent med i dag er gjennom mange år bygd opp av felles standarder fra W3C. Denne gruppen har som oppgave å lage mekanismer og standarder for å gjøre internettet og nettlesere trygt for oss som brukere. 

  • Ta for eksempel CSP (Content Security Policy). Den hindrer kjøring av uautorisert kode og blokkerer forespørsler mot ukjente domener. 
  • CORS (Cross-Origin Resource Sharing) er et annet subset fra Fetch-standarden. Dens hensikt er å kontrollere dataflyt på tvers av domener slik at du vil få blokkert en forespørsel dersom domenet ikke kjenner hosten som spør om data.

AI-nettleseren ignorerer disse reglene.

I AI-nettlesere sendes hele den innloggede nettleserkonteksten til en språkmodell. Innholdet prosesseres gjerne på en server, utenfor nettleserens sandkasse og uten alle lagene av sikkerhet vi har blitt vant til eller som vi kanskje ikke visste at allerede fantes.

Dermed står vi igjen med et alvorlig problem:

Vi har gitt en ekstern AI-agent tilgang til alt vi gjør på nett, uten å ta med sikkerhetsnettet som beskytter oss.

LLM-teknologien er basert på sannsynlighet, den har ingen forhold til sannferdighet eller virkelighet.

Prompt-injeksjoner

At dette ikke er hypotetisk, fikk vi demonstrert med et slikt angrep nylig. 

Brave oppdaget en prompt-injeksjons­sårbarhet i Perplexity Comet, som lot nettsider instruere agenten direkte, i brukerens innloggede kontekst.

    • Når du for eksempel ber AI-nettleseren om å “oppsummere denne siden”, sender den nettsiden inn til LLM-motoren. 
    • Hvis noen har skjult en instruksjon i HTML-kommentarer, CSS, usynlig tekst eller brukergenerert innhold, kan modellen velge å ignorere dine instruksjoner. 
    • Eller kanskje utføre andre handlinger, til og med uten at du har godkjent det. Og LLMen kan presentere det som det du opprinnelig ba om. 

    For hvordan vet du egentlig at den snakker sant? LLM-teknologien er basert på sannsynlighet, den har ingen forhold til sannferdighet eller virkelighet. 

    Den klarer heller ikke skille på brukerkommandoer med gode intensjoner fra skjulte kommandoer som kan ligge i nettleseren, med potensielle farlige intensjoner.

    Dette er en helt ny angrepsvektor, og angripere elsker nye vektorer.

Hvem har egentlig ansvaret?

Hvis modellen betaler feil faktura, endrer data i et internt system eller avslører forretningshemmeligheter, er det uklart hvem som sitter igjen med skylden:

  • Brukeren?

  • Selskapet som driver AI-nettleseren?

  • Nettstedet med det skjulte promptet?

  • Utvikleren som implementerte agentstøtte?

AI-nettleseren skal være en digital assistent. 

Men uten sikkerhetsmekanismer, isolasjon eller eksplisitt bekreftelse oppfører den seg mer som en ny angriper med altfor mange privilegier.

Hvis du vurderer å bruke en ny AI-nettleser, så please don’t. Det er i alle fall mitt råd.

ai prompt injection openai nettleser meninger kunstig intelligens ki comet chatgpt atlas atlas artikkel sikkerhet
Powered by Labrador CMS