Teknik 1 tim sedan

AI-webbläsare kom med löftet om att förändra allt. Inte nog med att de inte har gjort det: de är en fara

Webbläsare med artificiell intelligens kom inte och lovade en smartare flik eller en sökmotor med bättre svar. De anlände med en mycket större ambition: OpenAI talar om att komma närmare en "äkta superassistent", Perplexity sammanfattar Comet som "webbläsaren som fungerar för dig" och Google presenterar Gemini i Chrome under idén om en ny era av surfning. Löftet är tydligt: ​​att vi slutar röra oss ensamma på webben och börjar delegera en del av vägen.

Problemet är att samma löfte börjar visa en mer känslig sida.

Varningen. University of Washington har nu fokuserat på denna framväxande risk. I forskning som presenterades på Agents in the Wild-workshopen, och släpptes av universitetet självt den 30 juni, analyserade ett team sju populära agentwebbläsare för att se hur de förhåller sig till ett grundläggande skydd av den moderna webben: samma ursprungspolicy.

Deras slutsats var tydlig: fyra av dem öppnade relevanta riskvägar och forskarna gick så långt att de körde ett fullständigt proof of concept i ChatGPT Atlas i agentläge.

Bottenhoppet. En traditionell webbläsare visar oss sidor och väntar på våra beslut. Vi kan öppna en tjänst, kopiera data, klistra in den någon annanstans, jämföra alternativ eller fylla i ett formulär, men varje steg beror på oss.

Agentiska webbläsare ändrar denna logik eftersom de innehåller system som kan tolka vad som visas på skärmen och gå framåt i webbläsaren själv. Vi pratar inte längre bara om att sammanfatta en sida, utan snarare att koordinera uppgifter mellan flikar, arbeta på öppna sidor och slutföra åtgärder som tidigare lämnats i användarens händer.

En ny front. Risken uppstår inte bara för att en sida är skadlig, utan för att agenten kan tolka den sidan som en del av dess instruktioner. Det är här snabb injektion kommer in, en teknik där externt innehåll försöker ändra modellens beteende med dolda, kamouflerade eller helt enkelt infogade order där användaren inte förväntar sig att hitta dem.

I en chatbot är det redan ett problem. I en agent webbläsare ändras omfattningen, eftersom systemet kan bearbeta information från en sida och konvertera den till åtgärder i webbläsaren.

Barriären som fanns där. Samma ursprungspolicy är ett av de skydd som vi sällan ser, men som underbygger mycket av den moderna webben. Dess funktion, enkelt uttryckt, är att förhindra en sida från att fritt läsa eller manipulera information från en annan bara för att båda är öppna i webbläsaren.

Tack vare denna separation ska vilken webbplats som helst inte bara kunna komma åt det vi har i en bank, ett mejl eller en privat tjänst. Problemet uppstår när en agent grupperar information som tidigare var mycket mer separerad. I Xataka verkade WhatsApp användarnamn som en bra idé.

Sedan dök skuggan av nätfiske upp. Föreställ dig att vi besöker en till synes normal sida och ber agenten att sammanfatta den eller hjälpa oss att slutföra en uppgift på den. Under vissa förhållanden kan den sidan innehålla innehåll från en annan källa, till exempel en iframe, tillsammans med en skadlig instruktion som är avsedd för modellen och inte för oss.

Om agenten har tillräckliga behörigheter kan den komma åt innehåll som den attackerande webbplatsen inte ska kunna läsa direkt och flytta en del av den informationen till ett formulär som kontrolleras av angriparen. Banan skulle inte direkt ha brutit barriären; han skulle ha använt agenten som en bro.

Den viktiga nyansen. Det bör noteras att studien inte säger att alla användare kommer att drabbas av en attack eller att någon webbläsare med AI är osäker per definition. Forskarna analyserade specifika versioner, vid en viss tidpunkt, och arbetade med proof of concept, inte med attacker mot riktiga tjänster eller med känslig användardata.

De observerade också relevanta skillnader mellan produkter: webbläsare som gav färre behörigheter till agenten tenderade att minska risken.

Paradoxen. Dessa webbläsare är attraktiva eftersom de lovar att spara steg, förstå sidor, relatera information och utföra uppgifter med mindre ingripande från oss. Men det är samma kapacitet som gör att felet väger mer: det inträffar inte bara i en isolerad flik, utan i en miljö där det kan finnas öppna sessioner, personuppgifter och väntande åtgärder.

De kanske ännu inte är en massiv vana, men säkerhetsdebatten är redan här, just för att deras förslag går ut på att ge dem mer marginal. Bilder | Xataka med nanobanan i Xataka | Att välja alla trafikljus är inte längre tillräckligt för att bevisa att du inte är en robot. Nu måste du skanna QR-koder

AI-webbläsare kom med löftet om att förändra allt. Inte nog med att de inte har gjort det: de är en fara

Originalkälla

Publicerad av Xataka

6 july 2026, 21:30

Läs original

Denna artikel har översatts automatiskt från spanska. Klicka på länken ovan för att läsa originaltexten.

Visa originaltext (spanska)

Rubrik

Los navegadores de IA llegaron con la promesa de cambiarlo todo. No solo no lo han hecho: son un peligro

Beskrivning

Los navegadores de inteligencia artificial no llegaron prometiendo una pestaña más lista ni un buscador con mejores respuestas. Llegaron con una ambición bastante mayor: OpenAI habla de acercarse a un “verdadero superasistente”, Perplexity resume Comet como “el navegador que trabaja para ti” y Google presenta Gemini en Chrome bajo la idea de una nueva era de navegación. La promesa es clara: que dejemos de movernos solos por la web y empecemos a delegar parte del camino. El problema es que esa misma promesa empieza a mostrar una cara más delicada. La advertencia. La Universidad de Washington ha puesto ahora el foco en ese riesgo emergente. En una investigación presentada en el workshop Agents in the Wild, y difundida por la propia universidad el pasado 30 de junio, un equipo analizó siete navegadores agénticos populares para comprobar cómo se relacionan con una protección básica de la web moderna: la política de mismo origen. Su conclusión fue clara: cuatro de ellos abrían vías de riesgo relevantes y los investigadores llegaron a ejecutar una prueba de concepto completa en ChatGPT Atlas en Agent Mode. El salto de fondo. Un navegador tradicional nos muestra páginas y espera nuestras decisiones. Podemos abrir un servicio, copiar un dato, pegarlo en otro sitio, comparar opciones o rellenar un formulario, pero cada paso depende de nosotros. Los navegadores agénticos alteran esa lógica porque incorporan sistemas capaces de interpretar lo que aparece en pantalla y avanzar dentro del propio navegador. Ya no hablamos solo de resumir una página, sino de coordinar tareas entre pestañas, operar sobre páginas abiertas y completar acciones que antes quedaban en manos del usuario. Un nuevo frente. El riesgo no aparece solo porque una página sea maliciosa, sino porque el agente puede interpretar esa página como parte de sus instrucciones. Ahí entra el prompt injection, una técnica en la que un contenido externo intenta alterar el comportamiento del modelo con órdenes escondidas, camufladas o simplemente insertadas donde el usuario no espera encontrarlas. En un chatbot, eso ya es un problema. En un navegador agéntico, el alcance cambia, porque el sistema puede procesar información de una página y convertirla en acciones dentro del navegador. La barrera que estaba ahí. La política de mismo origen es una de esas protecciones que casi nunca vemos, pero que sostienen buena parte de la web moderna. Su función, simplificando, es impedir que una página pueda leer o manipular libremente información de otra solo porque ambas están abiertas en el navegador. Gracias a esa separación, una web cualquiera no debería poder acceder sin más a lo que tenemos en un banco, un correo o un servicio privado. El problema aparece cuando un agente agrupa información que antes estaba mucho más separada. En Xataka Los nombres de usuario de WhatsApp parecían una buena idea. Entonces apareció la sombra de la suplantación de identidad Imaginemos que visitamos una página aparentemente normal y pedimos al agente que la resuma o que nos ayude a completar una tarea dentro de ella. En determinadas condiciones, esa página puede incluir contenido de otro origen, como un iframe, junto a una instrucción maliciosa pensada para el modelo y no para nosotros. Si el agente tiene permisos suficientes, podría acceder a contenido que la web atacante no debería poder leer directamente y trasladar parte de esa información a un formulario controlado por el atacante. La web no habría roto directamente la barrera; habría usado al agente como puente. El matiz importante. Cabe señalar que el estudio no dice que todos los usuarios vayan a sufrir un ataque ni que cualquier navegador con IA sea inseguro por definición. Los investigadores analizaron versiones concretas, en un momento concreto, y trabajaron con pruebas de concepto, no con ataques contra servicios reales ni con datos sensibles de usuarios. También observaron diferencias relevantes entre productos: los navegadores que concedían menos permisos al agente tendían a reducir el riesgo. La paradoja. Estos navegadores resultan atractivos porque prometen ahorrar pasos, entender páginas, relacionar información y ejecutar tareas con menos intervención nuestra. Pero esa misma capacidad es la que hace que el fallo pese más: no ocurre solo en una pestaña aislada, sino en un entorno donde puede haber sesiones abiertas, datos personales y acciones pendientes. Puede que todavía no sean un hábito masivo, pero el debate de seguridad ya está aquí, precisamente porque su propuesta consiste en darles más margen. Imágenes | Xataka con Nano Banana En Xataka | Seleccionar todos los semáforos ya no es suficiente para demostrar que no eres un robot. Ahora hay que escanear códigos QR (function() { window._JS_MODULES = window._JS_MODULES || {}; var headElement = document.getElementsByTagName('head')[0]; if (_JS_MODULES.instagram) { var instagramScript = document.createElement('script'); instagramScript.src = 'https://platform.instagram.com/en_US/embeds.js'; instagramScript.async = true; instagramScript.defer = true; headElement.appendChild(instagramScript); } })(); - La noticia Los navegadores de IA llegaron con la promesa de cambiarlo todo. No solo no lo han hecho: son un peligro fue publicada originalmente en Xataka por Javier Marquez .

0 visningar
Dela:

Svep för att byta artikel

Vi använder cookies

Vi använder cookies för att förbättra din upplevelse på vår webbplats. Genom att klicka "Acceptera alla" samtycker du till användningen av alla cookies. Läs mer i vår cookiepolicy och integritetspolicy.