Использование браузерных ИИ-агентов, предназначенных для автоматического выполнения действий от имени пользователя, может создавать серьезные риски для конфиденциальности и безопасности. К такому выводу пришли авторы нового исследования, изучившие восемь наиболее активно развивавшихся в 2025 году решений.
В анализ вошли OpenAI ChatGPT Agent, Google Project Mariner, Amazon Nova Act, Perplexity Comet, Browserbase Director, Browser Use, а также продукты Anthropic — Claude Computer Use и Claude for Chrome. Во всех восьми системах была выявлена как минимум одна серьезная уязвимость, всего исследователи зафиксировали около 30 проблем.
Ключевым архитектурным риском авторы называют принцип работы таких агентов. Для выполнения задач модель функционирует не локально в браузере пользователя, а на серверах разработчика. В результате туда могут передаваться снимки вкладок, содержимое страниц и история действий. Формально компании ограничивают использование этих данных внутренними политиками, однако фактически пользователь вынужден полагаться на доверие к поставщику сервиса.
Отдельное внимание в исследовании уделено использованию устаревших браузерных окружений. В одном из рассмотренных случаев ИИ-агент работал в версии браузера, отстающей на 16 крупных релизов и содержащей известные уязвимости, что потенциально облегчает атаки через вредоносные сайты.
Эксперименты также показали, что многие ИИ-агенты игнорируют стандартные защитные механизмы. Шесть из восьми решений не предупреждали пользователя о фишинговых страницах и продолжали вводить учетные данные. В ряде случаев агенты автоматически подтверждали предупреждения о проблемах с TLS-сертификатами, снижая уровень защиты от атак типа «человек посередине».
Дополнительно было отмечено ослабление механизмов защиты от трекинга. Некоторые агенты некорректно изолировали cookies, автоматически соглашались на использование всех файлов cookie и в отдельных сценариях передавали сайтам вымышленные, но формально персональные данные — такие как адрес электронной почты, индекс или демографическая информация — даже без необходимости для выполнения задачи.
Авторы исследования подчеркивают, что концепция браузерных ИИ-агентов имеет высокий потенциал, однако без регулярного аудита безопасности и участия специалистов по защите данных такие инструменты могут стать новой скрытой точкой утечки информации.