Bảo mật trình duyệt AI được xem xét kỹ lưỡng khi các nhà nghiên cứu phát hiện việc tiêm các câu lệnh (prompts) vào LLM là điều dễ dàng bằng cách thêm văn bản hoặc hình ảnh đã chỉnh sửa vào các trang.
Trong bối cảnh bùng nổ các hệ thống AI, các trình duyệt web AI như Fellou và Comet từ Perplexity đã bắt đầu xuất hiện trên máy tính doanh nghiệp. Những ứng dụng này được mô tả là bước phát triển tiếp theo của trình duyệt thông thường, tích hợp sẵn các tính năng AI; chúng có thể đọc và tóm tắt các trang web – và, ở cấp độ tiên tiến nhất – tự động tương tác với nội dung web.
Về lý thuyết, ít nhất, lời hứa của một trình duyệt AI là nó sẽ đẩy nhanh các quy trình làm việc kỹ thuật số, thực hiện nghiên cứu trực tuyến và truy xuất thông tin từ các nguồn nội bộ cũng như internet rộng lớn.
Tuy nhiên, các nhóm nghiên cứu bảo mật đang kết luận rằng các trình duyệt AI mang đến những rủi ro nghiêm trọng cho doanh nghiệp mà không thể bỏ qua.
Vấn đề nằm ở chỗ các trình duyệt AI rất dễ bị tấn công bằng phương pháp tiêm câu lệnh gián tiếp (indirect prompt injection). Đây là nơi mô hình trong trình duyệt (hoặc được truy cập thông qua trình duyệt) nhận các lệnh ẩn trong các trang web được tạo ra đặc biệt. Bằng cách nhúng văn bản vào các trang web hoặc hình ảnh theo những cách mà con người khó nhận biết, các mô hình AI có thể được cung cấp các lệnh dưới dạng câu lệnh AI, hoặc các sửa đổi đối với câu lệnh do người dùng nhập.
Điểm mấu chốt đối với các bộ phận IT và những người ra quyết định là các trình duyệt AI vẫn chưa phù hợp để sử dụng trong doanh nghiệp và đại diện cho một mối đe dọa bảo mật đáng kể.
Trong các thử nghiệm, các nhà nghiên cứu phát hiện rằng văn bản được nhúng trong nội dung trực tuyến được trình duyệt AI xử lý và được diễn giải thành các lệnh cho mô hình thông minh. Các lệnh này có thể được thực thi bằng đặc quyền của người dùng, vì vậy mức độ truy cập thông tin của người dùng càng lớn thì rủi ro đối với tổ chức càng cao. Khả năng tự chủ mà AI mang lại cho người dùng chính là cơ chế làm tăng diện tích tấn công, và càng tự chủ nhiều, phạm vi tiềm năng mất dữ liệu càng lớn.
Ví dụ, có thể nhúng các lệnh văn bản vào một hình ảnh mà khi hiển thị trong trình duyệt, có thể kích hoạt trợ lý AI tương tác với các tài sản nhạy cảm, như email công ty hoặc bảng điều khiển ngân hàng trực tuyến. Một thử nghiệm khác cho thấy cách câu lệnh của trợ lý AI có thể bị chiếm quyền và bị buộc thực hiện các hành động trái phép thay mặt người dùng.
Những loại lỗ hổng này rõ ràng đi ngược lại mọi nguyên tắc quản trị dữ liệu, và là ví dụ rõ ràng nhất về việc 'AI bóng tối' dưới hình thức trình duyệt trái phép, gây ra mối đe dọa thực sự đối với dữ liệu của một tổ chức. Mô hình AI hoạt động như một cầu nối giữa các miền, và bỏ qua các chính sách cùng nguồn gốc (same-origin policies) – quy tắc ngăn chặn truy cập dữ liệu từ một miền bởi một miền khác.
Gốc rễ của vấn đề là sự kết hợp giữa các truy vấn của người dùng trong trình duyệt với dữ liệu trực tiếp được truy cập trên web. Nếu LLM không thể phân biệt giữa đầu vào an toàn và độc hại, thì nó có thể dễ dàng truy cập dữ liệu không được yêu cầu bởi người điều hành và thực hiện các hành động trên đó. Khi được cấp khả năng tác nhân (agentic abilities), hậu quả có thể rất sâu rộng, và dễ dàng gây ra một chuỗi hoạt động độc hại trên toàn doanh nghiệp.
Đối với bất kỳ tổ chức nào dựa vào phân đoạn dữ liệu và kiểm soát truy cập, một lớp AI bị xâm nhập trong trình duyệt của người dùng có thể vượt qua tường lửa, thực hiện trao đổi token và sử dụng cookie bảo mật theo cách giống hệt như một người dùng thông thường. Về cơ bản, trình duyệt AI trở thành một mối đe dọa nội bộ, với quyền truy cập vào tất cả dữ liệu và khả năng của người điều hành. Người dùng trình duyệt sẽ không nhất thiết nhận thức được hoạt động 'ngầm', vì vậy một trình duyệt bị nhiễm có thể hoạt động trong thời gian dài mà không bị phát hiện.
Thế hệ trình duyệt AI đầu tiên nên được các nhóm IT coi như cách họ xử lý việc cài đặt phần mềm của bên thứ ba trái phép. Mặc dù tương đối dễ dàng để ngăn người dùng cài đặt phần mềm cụ thể, nhưng đáng chú ý là các trình duyệt chính thống như Chrome và Edge đang tích hợp ngày càng nhiều tính năng AI dưới dạng Gemini (trong Chrome) và Copilot (trong Edge). Các công ty sản xuất trình duyệt đang tích cực khám phá các khả năng duyệt web được tăng cường bởi AI, và các tính năng tác nhân (cung cấp quyền tự chủ đáng kể cho trình duyệt) sẽ nhanh chóng xuất hiện, được thúc đẩy bởi nhu cầu cạnh tranh giữa các công ty trình duyệt.
Nếu không có sự giám sát và kiểm soát phù hợp, các tổ chức đang tự mở ra những rủi ro đáng kể. Các thế hệ trình duyệt tương lai nên được kiểm tra các tính năng sau:
Cho đến nay, chưa có nhà cung cấp trình duyệt nào giới thiệu một trình duyệt thông minh có khả năng phân biệt giữa ý định do người dùng điều khiển và các lệnh được mô hình diễn giải. Nếu không có điều này, các trình duyệt có thể bị ép buộc hành động chống lại tổ chức bằng cách sử dụng phương pháp tiêm câu lệnh tương đối đơn giản.
Các trình duyệt AI tác nhân được giới thiệu là bước phát triển hợp lý tiếp theo trong duyệt web và tự động hóa nơi làm việc. Chúng được thiết kế một cách có chủ ý để làm mờ ranh giới giữa hoạt động của người dùng/con người và trở thành một phần của các tương tác với tài sản kỹ thuật số của doanh nghiệp. Với sự dễ dàng mà các LLM trong trình duyệt AI có thể bị lách và làm hỏng, thế hệ trình duyệt AI hiện tại có thể được coi là phần mềm độc hại tiềm ẩn.
Các nhà cung cấp trình duyệt lớn dường như sẽ tích hợp AI (có hoặc không có khả năng tác nhân) vào các thế hệ nền tảng tương lai của họ, vì vậy cần phải giám sát cẩn thận từng bản phát hành để đảm bảo kiểm soát bảo mật.
