Хотели будущее, а получили цифрового предателя. Разбираем слабые места браузера Comet

Специалисты показали, как новый класс браузеров с искусственным интеллектом может превратиться в удобную мишень для мошенников. Проблема не только в том, что такие программы действуют от имени пользователя и получают доступ к почте, личным кабинетам и другим закрытым разделам сайтов. Опасность усиливает другая особенность: во время работы помощник слишком подробно «проговаривает» свои действия и сомнения, фактически подсказывая злоумышленникам, как обойти защиту.

Авторы работы назвали явление AgenticBlabbering. Речь идёт о потоке служебных данных, в котором браузерный помощник раскрывает, что видит на странице, какие элементы считает подозрительными, какие действия собирается выполнить и почему в одних случаях останавливается, а в других продолжает работу. Специалисты изучили трафик браузера Comet от Perplexity и пришли к выводу, что внутренней информации наружу уходит гораздо больше, чем видит обычный пользователь в окне чата.

Для анализа специалисты перехватили обмен данными между браузером и серверной частью сервиса. Обычные средства для перехвата трафика подошли плохо, потому что современные браузерные помощники активно используют HTTP/2 и QUIC, где множество запросов проходит по одному соединению. Поэтому команда написала расширение для Burp Suite, собрала телеметрию в базу данных и получила подробную хронологию действий помощника: какие страницы открывал, куда нажимал, что «думал» о происходящем и по каким признакам принимал решения.

Проверка показала, что такие браузеры работают не так, как человек. Вместо привычного просмотра страниц помощник использует набор команд с расширенными правами: перейти по адресу, нажать кнопку, ввести текст, дождаться изменения страницы, прочитать содержимое и сделать снимок экрана. По словам авторов, базовым «зрением» для Comet служит именно снимок экрана. Браузер регулярно отправляет изображение страницы на сервер, где содержимое разбирают с помощью распознавания текста и анализа изображения. В таком снимке могут оказаться письма, счета, банковские данные, личные сообщения и любая другая информация, открытая в браузере в конкретный момент.

Отдельную тревогу вызвал инструмент, который преобразует страницу в структурированные текстовые блоки с описанием элементов интерфейса. Такой подход помогает ориентироваться на сайте и частично снижает риск простых атак через подмену текста, но создаёт другую проблему. Помощник работает уже не с самой страницей, а с собственной интерпретацией содержимого. На динамических сайтах за это время страница может измениться, и тогда программа проверит один вариант, а нажмёт уже на другой.

После перехвата внутренней логики авторы решили посмотреть, как такую утечку можно использовать в атаке. Для этого они построили автоматический цикл, напоминающий состязательную сеть: одна модель создавала мошенническую страницу, другая анализировала реакцию браузерного помощника, после чего страница менялась и тест повторялся. Цель оказалась простой: довести поддельный сайт до состояния, при котором защитные механизмы перестанут возражать.

В качестве примера команда взяла популярный сценарий с возвратом денег. Пользователь получает письмо о якобы оформленной покупке в магазине товаров для животных, пугается и просит браузер с искусственным интеллектом войти в учётную запись и отправить запрос на возврат. Сначала системе показали намеренно грубую и подозрительную страницу входа. Comet сразу распознал признаки фишинга по внешнему виду, сделал снимок экрана и выдал резкое предупреждение.

Затем цикл доработки запустили автоматически. После первой правки страница стала выглядеть аккуратнее, и реакция браузера смягчилась. Помощник уже не говорил, что сайт явно поддельный, но всё ещё видел подозрительные признаки в слишком шаблонной форме входа и общих формулировках. После следующей доработки Comet перешёл от визуальной оценки к более глубокому анализу структуры страницы. На этом этапе браузер начал обращать внимание уже не только на оформление, но и на приёмы социальной инженерии, например на искусственно созданную срочность и попытки одновременно вызвать доверие и тревогу.

Решающей стала четвёртая итерация. После очередной правки помощник перестал выдавать серьёзные предупреждения, посчитал страницу безопасной, ввёл учётные данные и сообщил, что вошёл в учётную запись и отправил форму на возврат. При этом никакой формы возврата на сайте не было. По сути, браузер просто передал личные данные на поддельную страницу. На весь цикл ушло меньше четырёх минут.

Авторы работы считают, что проблема меняет саму экономику мошенничества. Раньше злоумышленники массово рассылали письма и надеялись, что часть людей попадётся на уловку. В случае с браузерными помощниками задача становится другой: нужно не убеждать миллионы пользователей по отдельности, а обучить одну атаку против одной модели. Если модель широко используется, удачно подобранная схема будет срабатывать у многих пользователей сразу.

Главный вывод авторов звучит жёстко. Когда браузерный помощник останавливает опасное действие, помощник не должен подробно объяснять внутреннюю логику отказа. Каждое такое объяснение помогает не только пользователю, но и злоумышленнику, который получает готовую инструкцию по обходу защиты. По мнению специалистов, разработчикам нужно ограничить утечку внутренней логики, жёстче контролировать действия помощников в личных кабинетах и закрытых сервисах, а также постоянно проверять защиту с помощью таких же автоматических «красных команд», пока тот же подход не поставили на поток преступные группы.

Если смотреть шире, история с Comet показывает неприятную тенденцию. Браузеры с искусственным интеллектом обещают избавить пользователя от рутины, но вместе с удобством переносят на программу право принимать рискованные решения. И если такой помощник не просто ошибается, а ещё и подробно рассказывает, почему почти заметил ловушку, мошенникам остаётся только спокойно довести приманку до идеального вида.