AI-webbläsare kan läcka hemligheter – forskare varnar för osynlig attack

Agentiska webbläsare kan läcka ut företagshemligheter utan att användaren märker det. Men många beslutsfattare blundar för problemet, anser hon.

Hanna Linderstål är vd för Earhart Business Protection Agency och en flitigt anlitad rådgivare och föreläsare inom cybersäkerhet. I sin roll möter hon både verksamhetsledare och högt uppsatta tjänstemän och politiker – och hon är allvarligt oroad över hur aningslöst de tar sig an AI.

– Det pågår ett huvudlöst AI-race där alla tävlar om att få in AI till varje pris, på kortast möjliga tid. Det är ett enormt tryck där regeringen och AI-agendan driver på. Men trots säkerhetsläget och dagliga rapporter om cyberhot har många släppt konsekvenstänket när det gäller AI.

Verktygen kommer med stora möjligheter, medger hon. Faran ligger i hur de lättvindigt de integreras i kritiska system.

– Det gäller beslutsfattare över hela linjen, i både näringslivet och offentlig sektor. Alla är så rädda att halka efter att de missar säkerheten.

Nya sårbarheter i AI-verktyg

Att AI i allmänhet och agentisk AI i synnerhet kommer med både hot och möjligheter blir allt mer omvittnat. När det gäller AI-drivna webbläsare och assistenter ligger risken i att de relativt enkelt kan bli manipulerade att följa instruktioner från externa angripare.

Samstämmig forskning från Stanford University och andra källor vittnar om problemet. Till exempel har säkerhetsföretaget Zenity Labs identifierat en ny typ av sårbarheter, kallade PleaseFix, i AI-webbläsare som gör det möjligt för angripare att ta kontroll över AI-assistenter.

I experimentet lyfter de AI-webbläsaren Comet från Perplexity AI och visar hur de kan manipulera den för att lura till sig känslig information.

– Men problemet är inte isolerat till Comet specifikt, utan gäller många AI-verktyg som används i företagsmiljöer, säger Hanna Linderstål.

Problemet ligger i designen

Angreppen bygger ofta på så kallade prompt injection–tekniker, där dolda instruktioner ligger inbäddade i till synes oskyldiga dokument eller webbsidor och kan kommunicera i bakgrunden med användarens agenter.

– Tänk dig att du ber din assistent sammanfatta ett dokument. Men någon har smugit in instruktioner som får den att i stället kopiera dina lösenord och skicka dem vidare. Eller att du tittar på en tröja i en e-shop och din agent lämnar över dina kontouppgifter utan att du märker det.

Problemen beror inte på en enskild bugg, utan ligger i hur AI-agenter är designade: de utför uppgifter automatiskt och kan inte alltid skilja på betrodda och manipulerade instruktioner.

– AI:n gör exakt det den är tränad att göra, den följer instruktioner. Problemet är att den inte alltid förstår vem instruktionen kommer ifrån. Den kan inte skilja på vad du vill och vad angriparen vill, förklarar Hanna.

Räcker att besöka en webbsida

Extra utmanande är att attackerna kan ske utan klick eller nedladdning. Det räcker med att en användare besöker en webbsida som är designad för att kommunicera med AI-agenter.

För en verksamhet kan konsekvenserna bli omfattande: Lösenord, inloggningsuppgifter och interna dokument riskerar att läcka ut och organisationen kan bryta mot GDPR utan att veta om det

– Många användare tror att AI-verktyg är säkra. Det är de inte. De är kraftfulla, men också i grunden godtrogna, säger Hanna Linderstål.

“Shadow AI” och övertro på tekniken

En särskild utmaning kommer med att många AI-verktyg ligger utanför it-avdelningens kontroll.
– Vi ser en massiv “shadow AI”. Medarbetare testar egna verktyg för att jobba snabbare. Det är förståeligt, men riskabelt.

Dessutom finns en utbredd övertro på tekniken i ledningsgrupper.
– Många beslutsfattare betraktar AI som ett sanningsorakel, men det är snarare en spegel som bygger på historisk data och mönster som redan finns, säger Hanna Linderstål.

Hon konstaterar att det ställer till problem i längden om man behöver beslutsunderlag för att göra reformer eller tänka nytt.

– Om vi hade baserat beslut på data från före 1917 hade vi troligen inte fått kvinnlig rösträtt, konstaterar hon.

Utvecklingen rymmer också större strukturella risker. Vi lägger i praktiken över tolkningsföreträdet på ett fåtal globala AI-plattformar. Det väcker viktiga frågor om data, kontroll och beroenden.

Hanna Linderstål drar paralleller till sociala mediers genombrott.
– Det är som 2010 när alla företag uppmuntrade sina medarbetare att posta på sociala medier och fem år senare insåg att plattformarna ägde innehållet. 

Stoppa det huvudlösa racet

Enligt Hanna Linderstål är det dags att bromsa upp och tänka till. Vad ska tekniken användas till? Och vad får det för konsekvenser? 

Hennes budskapet är inte att stoppa AI utan att använda tekniken mer ansvarsfullt. Att stoppa ”det huvudlösa racet” och inse att det är fråga om kritisk infrastruktur som ska behandlas som sådan.

Då gäller det att vara noggrann vid val av verktyg och tydlig med vilken information medarbetare får dela.

AI är redan en central del av arbetslivet. Organisationer som lär sig hantera riskerna kommer att ha ett försprång.

– AI är här för att stanna och kan ge enorma fördelar, men också risker. Precis som vi inte låter anställda använda vilka molntjänster som helst utan säkerhetsgranskning, behöver AI-verktyg noggrann bedömning.