Los responsables del navegador Brave han analizado Comet, de Perplexity, para destacar que los navegadores agénticos son vulnerables a lo que se llama ataque por inyección de instrucciones o 'prompt injection', que desencadenan acciones maliciosas normalmente bloqueadas.
Los ataques por inyección de instrucciones consisten en la introducción de indicaciones ocultas en imágenes o documentos procesado por sistemas de inteligencia artificial para que realicen acciones que tienen bloqueadas.
Es una amenaza diseñada para los 'chatbots' y agentes de IA, a los que manipula para habilitar acciones maliciosas, como ignorar la orden de avisar a un humano y descargar un archivo con 'malware' o difundir un enlace a una página fraudulenta como ha ocurrido en Grok.
El navegador Comet de Perplexity, lanzado recientemente, no es inmune a los ataques de 'prompt injection', como señalan desde la empresa responsable del navegador Brave, que ha analizado el uso malintencionado de las capturas de pantalla.
Los usuarios de Comet pueden realizar capturas de pantalla de una web para luego preguntar al asistente de Perplexity sobre ella. Esta acción no es maliciosa por sí misma, pero sí la captura de hace de una web fradulenta, en la que los cibercriminales han ocultado indicaciones maliciosas, el ataque se desencadena.
Esas indicaciones, invisibles o casi invisibles para los humanos, pasan al modelo de lenguaje que impulsa el asistente como si fuesen instrucciones procedentes el usuario, pero en realidad le están ordenando que use con fines maliciosos las herramientas del navegador.
"Las suposiciones arraigadas sobre seguridad web se rompen cuando los agentes de IA actúan en nombre de los usuarios", apuntan desde Brave. En la misma línea se pronunció en agosto la firma de ciberseguridad Guard.io, cuando compartió su análisis sobre la amenaza denominada Scamlexity, que protagonizan los navegadores con IA con capacidades de agente y que se inspira en Perplexity.
En su trabajo explican que la autonomía de los agentes no se ha reforzado con conocimiento sobre las estafas 'online' más habituales, como las tiendas fraudulentas y los correos de 'phishing' que suplantan a una entidad bancaria. Y pusieron a prueba a Comet con la inyección de indicaciones, que el navegador no reconoció como maliciosas.