Os navegadores da web estão se tornando bastante falantes. Eles ficaram ainda mais falantes na semana passada, depois que a OpenAI e a Microsoft aceleraram a corrida dos navegadores de IA com o ChatGPT Atlas e um “Modo Copilot” para o Edge. Eles podem responder perguntas, resumir páginas e até realizar ações em seu nome. A experiência ainda está longe de ser perfeita, mas sugere um futuro mais conveniente e sem esforço, onde seu navegador faz muito do seu pensamento por você. Esse futuro também pode ser um campo minado de novas vulnerabilidades e vazamentos de dados, alertam especialistas em cibersegurança. Os sinais já estão aqui, e os pesquisadores dizem ao The Verge que o caos está apenas começando.
O Atlas e o Modo Copilot são parte de uma disputa mais ampla para controlar o acesso à internet e incorporar a IA diretamente no navegador. Esse impulso está transformando o que antes eram chatbots independentes em páginas ou aplicativos separados na própria plataforma que você usa para navegar na web. Eles não estão sozinhos. Jogadores estabelecidos também estão na corrida, como o Google, que está integrando seu modelo de IA Gemini ao Chrome; a Opera, que lançou o Neon; e a The Browser Company, com o Dia. Startups também estão ansiosas para reivindicar seu espaço, como a startup de IA Perplexity — mais conhecida por seu mecanismo de busca alimentado por IA, que disponibilizou gratuitamente seu navegador Comet para todos no início de outubro — e a sueca Strawberry, que ainda está em beta e está ativamente indo atrás de “usuários descontentes do Atlas”.
Nas últimas semanas, pesquisadores descobriram vulnerabilidades no Atlas que permitem que atacantes aproveitem a “memória” do ChatGPT para injetar código malicioso, conceder privilégios de acesso ou implantar malware. Falhas descobertas no Comet poderiam permitir que atacantes sequestrassem a IA do navegador com instruções ocultas. A Perplexity, por meio de um blog, e o diretor de segurança da informação da OpenAI, Dane Stuckey, reconheceram injeções de prompt como uma grande ameaça na semana passada, embora ambos as descrevessem como um problema de “fronteira” que não tem solução firme.
“Apesar de algumas guardrails pesadas em vigor, há uma vasta superfície de ataque”, diz Hamed Haddadi, professor de sistemas centrados no humano no Imperial College London e cientista-chefe da empresa de navegador Brave. E o que estamos vendo é apenas a ponta do iceberg.
Com os navegadores de IA, as ameaças são numerosas. Em primeiro lugar, eles sabem muito mais sobre você e são “muito mais poderosos do que os navegadores tradicionais”, diz Yash Vekaria, um pesquisador de ciência da computação da UC Davis. Mesmo mais do que os navegadores padrão, Vekaria diz que “há um risco iminente de ser rastreado e perfilado pelo próprio navegador”. As funções de “memória” da IA são projetadas para aprender com tudo o que um usuário faz ou compartilha, desde navegação até e-mails e buscas, bem como conversas com o assistente de IA embutido. Isso significa que você provavelmente está compartilhando muito mais do que imagina, e o navegador se lembra de tudo. O resultado é “um perfil mais invasivo do que nunca”, diz Vekaria. Os hackers gostariam muito de ter acesso a essas informações, especialmente se acopladas a detalhes de cartão de crédito armazenados e credenciais de login frequentemente encontradas nos navegadores.
Outra ameaça é inerente ao lançamento de qualquer nova tecnologia. Não importa quão cuidadosos os desenvolvedores sejam, inevitavelmente haverá fraquezas que os hackers podem explorar. Isso pode variar de bugs e erros de codificação que acidentalmente revelam dados sensíveis a grandes falhas de segurança que podem permitir que hackers ganhem acesso ao seu sistema. “Ainda é cedo, então espere que vulnerabilidades arriscadas surjam”, diz Lukasz Olejnik, um pesquisador de cibersegurança independente e pesquisador sênior visitante no King’s College London. Ele aponta para os “abusos iniciais de macros do Office, extensões de navegador maliciosas e dispositivos móveis antes da introdução de permissões” como exemplos de problemas de segurança anteriores ligados ao lançamento de novas tecnologias. “Aqui vamos nós novamente.”
Algumas vulnerabilidades nunca são encontradas — às vezes levando a ataques de dia zero devastadores, nomeados assim porque não há dias para corrigir a falha — mas testes rigorosos podem reduzir o número de problemas potenciais. Com os navegadores de IA, “a maior ameaça imediata é a corrida do mercado”, diz Haddadi. “Esses navegadores agentes não foram testados e validados de maneira adequada.”
Mas a característica definidora dos navegadores de IA, a IA, é onde as piores ameaças estão se formando. O maior desafio vem com agentes de IA que atuam em nome do usuário. Como os humanos, eles são capazes de visitar sites suspeitos, clicar em links duvidosos e inserir informações sensíveis em lugares onde informações sensíveis não deveriam ir, mas, ao contrário de alguns humanos, eles carecem do senso comum aprendido que ajuda a nos manter seguros online. Os agentes também podem ser enganados, até sequestrados, para fins nefastos. Tudo o que é necessário são as instruções corretas. As chamadas injeções de prompt podem variar de óbvias a sutis, efetivamente escondidas à vista em coisas como imagens, capturas de tela, campos de formulários, e-mails e anexos, e até mesmo algo tão simples quanto texto branco em um fundo branco.
Pior ainda, esses ataques podem ser muito difíceis de antecipar e defender. A automação significa que os maus atores podem tentar e tentar novamente até que o agente faça o que eles querem, diz Haddadi. “A interação com agentes permite configurações e explorações infinitas de ‘tente e erro’ para inserir prompts e comandos maliciosos.” Há simplesmente muito mais chances de um hacker conseguir penetrar ao interagir com um agente, abrindo um enorme espaço para potenciais ataques. Shujun Li, professor de cibersegurança da Universidade de Kent, diz que “vulnerabilidades de dia zero estão aumentando exponencialmente” como resultado. Pior ainda: Li afirma que, como a falha começa com um agente, a detecção também será atrasada, significando possíveis violações maiores.
Não é difícil imaginar o que pode estar por vir. Olejnik vê cenários em que atacantes usam instruções ocultas para fazer navegadores de IA enviarem dados pessoais ou roubarem bens comprados, alterando o endereço salvo em um site de compras. Para piorar, Vekaria alerta que é “relativamente fácil realizar ataques” dado o estado atual dos navegadores de IA, mesmo com salvaguardas em vigor. “Os fornecedores de navegadores têm muito trabalho a fazer para torná-los mais seguros, protegidos e privados para os usuários finais”, diz ele.
Para algumas ameaças, os especialistas dizem que a única maneira real de se manter seguro ao usar navegadores de IA é simplesmente evitar os recursos de destaque completamente. Li sugere que as pessoas usem a IA “apenas quando absolutamente necessário” e saibam o que estão fazendo. Os navegadores devem “operar em um modo livre de IA por padrão”, diz ele. Se você precisar usar os recursos de agente de IA, Vekaria aconselha um certo grau de supervisão. Ao definir uma tarefa, forneça ao agente sites verificados que você sabe serem seguros, em vez de deixá-lo descobrir por conta própria. “Ele pode acabar sugerindo e usando um site de golpe”, alerta ele.