AI prohlížeče přinášejí nové bezpečnostní výzvy
Když OpenAI 21. října 2025 spustil svůj nový ChatGPT Atlas browser pro macOS, nabídl uživatelům prohlížeč s integrovanou umělou inteligencí, která může vyhledávat, číst weby a dokonce i vytvářet kód. Prohlížeč slibuje revoluci v tom, jak pracujeme s internetem. Jenže během prvních tří dnů po spuštění objevilo sedm nezávislých bezpečnostních firem závažné zranitelnosti, které z Atlasu činí jeden z nejméně bezpečných prohlížečů na trhu.
Problém není jen u OpenAI. Podobné bezpečnostní slabiny se objevily i u dalších AI prohlížečů jako Perplexity Comet, Fellou nebo Dia. Všechny tyto nástroje sdílejí stejný fundamentální problém: nedokážou rozlišit mezi důvěryhodnými příkazy od uživatele a škodlivými instrukcemi ukrytými na webových stránkách.
Bezpečnostní expert Bruce Schneier k tomu říká: “Velké jazykové modely nemohou rozlišit mezi důvěryhodnými příkazy a nedůvěryhodnými daty.” A právě to je jádro problému všech současných AI prohlížečů.
Přehled hlavních bezpečnostních hrozeb
Tainted Memories (Zakalené vzpomínky): Škodlivé instrukce vložené do paměti ChatGPT přežijí restart, přeinstalaci i změnu hesla a šíří se na všechna zařízení uživatele.
Extrémně nízká ochrana proti phishingu: Atlas blokuje pouze 5,8% phishingových útoků, zatímco Chrome zastaví 47% a Edge dokonce 53%.
Nešifrované OAuth tokeny: Přístupové tokeny k různým službám jsou uložené v běžné databázi bez šifrování, kde k nim má přístup jakýkoliv proces.
Prompt injection útoky: Škodlivé příkazy ukryté na webových stránkách AI vykonává jako legitimní požadavky uživatele.
Kompromitovaný generovaný kód: AI může do vytvořeného programového kódu propašovat skryté funkce, které stahují a spouští malware.
Neviditelné příkazy ve screenshotech: Škodlivé instrukce mohou být skryté jako téměř neviditelný text v obrázcích, které AI zpracovává.
Cross-Site Request Forgery (CSRF): Útočník může zneužít již přihlášenou session uživatele a bez jeho vědomí manipulovat s účtem.
Krádež citlivých dat: Útočník získá přístup k emailům, bankovním účtům, firemním dokumentům a heslům.
Testy odhalují alarmující výsledky
LayerX Security provedl test proti více než stovce reálných phishingových útoků a webových zranitelností. Výsledky jsou šokující. Microsoft Edge zastavil 53% útoků, Google Chrome 47% a Dia dokonce 46%. Perplexity Comet a Genspark zastavily pouze 7% škodlivých stránek. ChatGPT Atlas však dosáhl nejhoršího výsledku ze všech testovaných prohlížečů .
Ze 103 testovaných útoků Atlas propustil 97, což znamená úspěšnost obrany pouze 5,8%. To prakticky znamená, že uživatelé Atlasu jsou o 90% zranitelnější než lidé používající Chrome nebo Edge. Pro běžného uživatele to v praxi znamená, že skoro každý phishingový útok projde bez varování.
Tyto výsledky nejsou jen teoretické. Bezpečnostní firma NeuralTrust během týdne po spuštění demonstrovala útok, kde se škodlivý příkaz maskoval jako běžná URL adresa. Atlas tyto skryté instrukce zpracoval jako důvěryhodný příkaz od uživatele.
Zranitelnost která přežije vše
LayerX Security objevil novou zranitelnost s názvem “Tainted Memories” neboli Zkalené vzpomínky. Útočník může prostřednictvím Cross-Site Request Forgery útoku vložit škodlivé instrukce přímo do paměti ChatGPT. Jakmile se to stane, infekce přetrvává i po restartu prohlížeče, přeinstalaci aplikace nebo dokonce změně hesla.
Útok funguje překvapivě jednoduše. Uživatel je přihlášen do ChatGPT a klikne na škodlivý odkaz, který může přijít emailem nebo z Discordu. Tento odkaz spustí požadavek, který zneužije již aktivní přihlášení uživatele a vloží skryté instrukce do paměti ChatGPT. Při dalším dotazu ChatGPT tyto škodlivé instrukce automaticky vykoná.
Nejhorší je, že jakmile je účet infikován, infekce se automaticky šíří na všechna zařízení, kde uživatel používá stejný účet. Ať už pracujete doma na Chrome nebo v práci na Atlasu, zkalené vzpomínky vás budou všude následovat. To je obzvlášť nebezpečné pro lidi, kteří používají stejný účet pro osobní i pracovní účely.
Co může útočník získat
Demonstrace bezpečnostních firem ukázaly reálné dopady těchto zranitelností. Útočník může ukrást veškerý obsah emailové schránky, přístup k bankovním účtům, firemní dokumenty nebo hesla. OAuth tokeny, které slouží k přihlašování do různých služeb, jsou v Atlasu uložené nešifrované v běžné databázi, kterou může číst jakýkoliv proces běžící na počítači.
LayerX vytvořil ukázkový útok zaměřený na vývojáře, kteří používají ChatGPT k “vibe coding” – stylu programování, kde vývojář popisuje umělé inteligenci, co chce vytvořit, a AI generuje kód. V této ukázce škodlivá instrukce ukrytá v paměti způsobila, že ChatGPT do generovaného kódu propašoval skrytou funkci, která stahuje a spouští kód ze vzdáleného serveru kontrolovaného útočníkem.
Podobný útok demonstroval LayerX i na Perplexity Comet browseru. Stačil jediný kliknutý odkaz s upravenou URL adresou a útočník získal přístup ke všem emailům nebo kalendářům, které uživatel v Cometu vytvořil. Data byla zakódována do base64 formátu, čímž obešla základní bezpečnostní kontroly, a odeslána na server útočníka.
Brave Browser ve svém výzkumu ukázal další variantu útoku. Škodlivé instrukce můžou být skryté jako téměř neviditelný text ve screenshotu nebo dokonce v komentáři na Redditu. Když AI zpracovává takový obsah, vykonává ukryté příkazy bez vědomí uživatele.
OpenAI o problému ví a přesto produkt vydal
Nejpřekvapivější na celé situaci je, že OpenAI o bezpečnostních problémech ví a otevřeně o nich mluví. Dane Stuckey, který v OpenAI zastává pozici Chief Information Security Officer, veřejně přiznal: “Prompt injection zůstává neřešitelným bezpečnostním problémem”.
Oficiální doporučení OpenAI jsou velmi jasná: “Nepoužívejte Atlas s citlivými, důvěrnými nebo produkčními daty.” Prohlížeč není pokryt standardními bezpečnostními certifikacemi jako SOC 2 nebo ISO, které jsou běžné u firemního softwaru. Pro používání v práci nebo s bankovními účty tedy Atlas fakticky není určen.
Přesto OpenAI spustil produkt pro širokou veřejnost s 800 miliony týdenních uživatelů ChatGPT. Firma tak de facto nechává stovky milionů lidí testovat nedokončený produkt bez plného povědomí o rizicích. Většina běžných uživatelů totiž oficiální bezpečnostní doporučení nečte.
Proč je to systémový problém celé kategorie
Bruce Schneier, uznávaný odborník na kyberbezpečnost, vysvětluje jádro problému: velké jazykové modely zkrátka neumí rozlišit mezi tím, co je legitimní požadavek od uživatele, a co je škodlivá instrukce skrytá na webové stránce nebo v dokumentu. Pro AI je to všechno jen text, který má zpracovat.
Brave Browser ve svém výzkumu identifikoval, že všechny současné agentic prohlížeče selhávají ve stejné oblasti. Nedokážou udržet jasnou hranici mezi důvěryhodným vstupem od uživatele a nedůvěryhodným obsahem z webu. Když AI dostane obojí najednou, zpracovává to jako jeden celek.
Tento problém se týká všech AI prohlížečů, které dávají umělé inteligenci možnost jednat jménem uživatele. Tradiční bezpečnostní mechanismy jako Same-Origin Policy nebo CORS jsou v tomto kontextu neúčinné, protože AI operuje s plnými právy přihlášeného uživatele napříč všemi webovými stránkami.
Jak se chránit při používání AI prohlížečů
Pro citlivé úkoly jako banking, pracovní emaily nebo přístup k firemním systémům používejte tradiční prohlížeče jako Chrome, Edge nebo Firefox. Tyto nástroje mají za sebou roky vylaďování bezpečnostních mechanismů.
Pokud chcete vyzkoušet Atlas nebo jiný AI prohlížeč, použijte pouze “logged out mode”, tedy režim bez přihlášení. V tomto režimu nemá AI přístup k vašemu účtu ani k uložené paměti, což výrazně snižuje riziko.
Nikdy do AI prohlížeče nevkládejte hesla, přístupové tokeny nebo citlivá firemní data. Pamatujte, že vše, co AI vidí, může být potenciálně zneužito nebo uloženo způsobem, který neočekáváte. Sledujte také, co AI skutečně dělá, zejména když generuje kód nebo pracuje s vašimi účty.
Brave Browser doporučuje, aby bezpečnostně citlivé akce vždy vyžadovály interakci uživatele. Například před odesláním emailu by měl prohlížeč vždy požádat o potvrzení. Bohužel současné AI prohlížeče toto často nedodržují.
Co dělat když je účet již infikován
Pokud máte podezření, že váš ChatGPT účet mohl být napaden, musíte ručně vymazat paměť. V nastavení ChatGPT najdete sekci “Memory” nebo “Vzpomínky”, kde můžete vidět, co si AI o vás pamatuje. Projděte tento seznam a smažte jakékoliv podezřelé nebo neznámé položky. Jak na to?
Bohužel pouhá změna hesla nebo odhlášení nestačí. Zkalená paměť přetrvává, dokud ji ručně neodstraníte. To je na celé zranitelnosti nejnebezpečnější aspekt.
Zvažte také vytvoření samostatných účtů pro osobní a pracovní použití ChatGPT. Pokud jeden účet bude kompromitován, druhý zůstane v bezpečí. Toto oddělení je důležité zejména pro lidi, kteří používají ChatGPT k práci s citlivými informacemi.
Budoucnost bezpečnosti AI prohlížečů
Brave Browser a další bezpečnostní firmy navrhovaly několik opatření, která by mohla tyto problémy řešit. Prohlížeč by měl jasně oddělit požadavky uživatele od obsahu webové stránky při jejich posílání do AI modelu. Obsah stránky by měl být vždy považován za nedůvěryhodný.
Výstupy AI by měly být kontrolovány, zda skutečně odpovídají tomu, co uživatel chtěl. Tato kontrola by měla probíhat nezávisle na samotném AI modelu. Bezpečnostně citlivé akce jako přístup k emailům nebo odesílání zpráv by měly vždy vyžadovat explicitní potvrzení od uživatele.
Ideálně by agentic browsing měl být zcela oddělený od běžného prohlížení webu. Uživatel by měl mít jasně viditelné, kdy je v rizikové režimu s plnou AI asistencí a kdy jen běžně prohlíží web. Podle Brave by nemělo být možné “omylem” se dostat do agentic režimu.
Problém je v tom, že řešení těchto zranitelností není jednoduché. Není to chyba v kódu, kterou lze opravit patchem. Jde o fundamentální omezeními současné generace velkých jazykových modelů. Dokud AI nedokáže spolehlivě rozlišit důvěryhodné příkazy od škodlivých dat, budou tyto problémy přetrvávat.
Zdroje: The Hacker News | LayerX Security | The Register | Brave Browser Security Blog | Brave Browser Security Blog | LayerX Security
