Bezpečnostní výzkumníci neustále odhalují, jak lze AI browser agenty, jako je nový Atlas browser od OpenAI, heknout pomocí injekce promptu (prompt injection) a exfiltrace dat (data-exfiltration). To znamená, že webová stránka dokáže nenápadně oklamat AI asistenta, aby dělal věci za vás – například kopíroval cookies, četl vaše e-maily nebo klikal na škodlivé odkazy – aniž byste o tom věděli. Normální pravidla bezpečnosti na webu tady neplatí. Pokud AI agent jedná za vás, zatímco jste přihlášeni, mohl by převádět peníze, odesílat e-maily nebo sahat na citlivá firemní data, a to všechno jen díky jednomu chytrému promptu.
Zpráva zveřejněná společností Brave poukazuje na klíčové problémy. Například injekce promptu přes screenshot: Skrytý text uvnitř obrázků může být AI v prohlížeči přečten jako příkaz, ne jako obsah. To umožňuje zlým aktérům propašovat neviditelné instrukce. Další je injekce založená na navigaci: Stačí požádat AI, aby otevřelo webovou stránku, a ta pak text z té stránky podá modelu, jako by pocházel od vás, což změní, co se stane dál. Systémový problém napříč AI prohlížeči spočívá v tom, že hranice mezi tím, co říká uživatel, a tím, co říká web, je často rozmazaná, což otevírá dveře manipulaci.
Výzkum Brave ukazuje, že tyto zranitelnosti jsou systémové a ovlivňují více AI prohlížečů. Například v případě OpenAI Atlas browseru byly demonstrovány útoky, kde AI provádělo skryté instrukce schované v sotva viditelném textu. Podobně Perplexity’s Comet zůstává zranitelný i po pokusech o opravy. Výzkumníci varují, že uživatelé by mohli přijít o peníze, pokud by útočníci zneužili jejich přihlašovací údaje.
Microsoft a jeho novinky v AI
Na poli screenshotů vyvolal nový Gaming Copilot od Microsoftu další obavy tím, že zachycuje snímky z hraní pro kontext. Microsoft tvrdí, že to slouží k lepšímu porozumění hrám, ne k trénování nových modelů. Uživatelé si stěžují, jak je těžké tuto funkci vypnout. Funkce sbírá data z herního obsahu, což zvyšuje rizika spojená s datovou bezpečností.
Zároveň investoři stále tápají v pravé ekonomice partnerství Microsoftu s OpenAI. Nový sloupek v WSJ volá po jasnějších finančních zveřejněních, a komentátoři na Hacker News argumentují, že klíčové detaily jsou pohřbeny v nejasných položkách nebo širokých kategoriích jako „other, net“. Výsledek je, že nikdo neví, kolik rizika, expozice nebo zisku skutečně proudí mezi oběma společnostmi, pokud by celá věc s AI selhala.
Microsoft nedávno zveřejnil 27% podíl v OpenAI, ohodnocený na 135 miliard dolarů, po restrukturalizaci OpenAI. Partnerství zahrnuje závazek na 250 miliard dolarů pro služby Azure v cloudu a prodlužuje práva Microsoftu na modely OpenAI až do roku 2032. Microsoft hlásil 4,7 miliardy dolarů v nákladech souvisejících s OpenAI ve své roční zprávě, ale kritici poukazují na nedostatek detailních rozborů nebo oceňování, což zvyšuje pochybnosti o transparentnosti.
Jak řešit tyto problémy?
Všechny tyto případy ukazují na rostoucí „daň za důvěru v AI“. Epizody podtrhují, jak uživatelská zkušenost s agenty běží vpřed před systémy, které by je měly zabezpečit nebo vysvětlit. Na straně produktů potřebují agenti silnější systémy oprávnění a jasnější hranice – viz doménové testy jako nový MLEB pro právní embeddingy – než firmy předají klíče k prohlížečům nebo interním datům.
Na tržní straně, pokud firmy pokračují v těžkých výdajích na AI při nejasných finančních detailech, je nemožné ocenit skutečné riziko. Jsou zisky opravdové? Jsou zahrnuty náklady na bezpečnost? Kdo zaplatí, když něco selže? Dosud jsme neviděli legitimní případ bezpečnosti AI eskalovaný na nejvyšší úrovně právní kontroly, aby byl provětrán na světle zákona, jako by to udělal Nejvyšší soud. Dokud se to nestane, trh bude muset tyto záležitosti řešit sám.
Například pokud jsou agenti snadno zneužitelní, firmy budou požadovat vzduchotěsné oprávnění, původ a auditovatelné evaluace, což přidá skutečné náklady a mohlo by snížit marže. A pokud zveřejnění rizik zaostávají, investoři nemohou zahrnout tyto náklady (bezpečnostní týmy, red-teaming, odškodnění) nebo závazky (únik dat, převzetí účtů), což rozšiřuje mezeru mezi příběhem a GAAP.
V krátkodobém horizontu existují jednoduché opravy pro webové agenty: Udržujte AI prohlížení oddělené od normálního prohlížení, zajistěte, aby uživatelé explicitně potvrzovali před tím, než agent navštíví stránky nebo čte e-maily, a navrhujte s bezpečností jako výchozí.
Pro vývojáře to znamená sandboxované prohlížení (izolace akcí agenta), seznamy povolených (pouze přístup k schváleným stránkám) a jasné záznamy aktivit. Pro platformy to znamená dávat uživatelům zřejmé vypínače a ukazovat, jaká data byla shromážděna, kdy je aktivní a jak to úplně vypnout.
Nakonec na obchodní straně firmy jako Microsoft potřebují ukázat nejen to, co vydělávají z AI, ale jak to prochází systémem: od pronájmu GPU přes prodej přístupu k modelům až po balení sedadel Copilot. Tak zjistíme, jestli AI generuje opravdový růst, nebo jen výsledek kreativního účetnictví. Nebo, jak to říkáme: jestli budujeme skutečnou „umělou obecnou inteligenci“... nebo jen „umělou obecnou inflaci“.
