Pedirle a la IA que te haga un resumen de ese artículo que acabas de ver en Reddit te puede salir muy caro. Es lo que acaban de desvelar los responsables de Brave, que han descubierto una forma sorprendentemente sencilla de hackear el navegador de IA Perplexity Comet para hacer no solo lo que el usuario pide, sino lo que un atacante ha logrado convencerle que haga. El peligro de dejarlo todo en manos de la IA es evidente.

Qué ha pasado. Los expertos de Brave, un navegador que compite con Chrome o Firefox y que también cuenta con funciones de IA, han querido analizar el riesgo de usar un navegador agéntico como el que ofrece ahora mismo Perplexity con Comet. Y vaya si lo han hecho.

En Xataka Android

He probado Comet, el navegador de Perplexity, y es como si estuviera viendo el futuro de Chrome

Lo navegadores con IA prometen mucho. Gracias a herramientas como Comet —OpenAI también tiene su ChatGPT Agent, heredero de Operator—, es posible que el navegador se convierta en una especie de mayordomo digital y haga cosas por nosotros de forma autónoma al visitar sitios web. Así, puede resumir una noticia, decirte qué canción aparece en ese vídeo de YouTube, buscarte ofertas , contestar correos o completar procesos de compra. A priori las ventajas son enormes, pero cuidado, porque también hay riesgos importantes.

Pero cuidado con soltar las manos del volante. Sin embargo delegarlo todo en el navegador puede plantear una amenaza real para la seguridad y privacidad de nuestros datos. Si nos fiamos demasiado de ellos, estos navegadores podrán tener acceso a todos nuestros datos, ya que teóricamente se beneficiarán del acceso a nuestro correo, pero también a datos bancarios y financieros e incluso de salud. ¿Qué pasa si el modelo de IA alucina o comete errores? O peor aún: ¿qué pasa si alguien modifica el contenido de forma maliciosa e invisible para que los agentes de IA sigan instrucciones maliciosas?

Hackeando la IA. Eso es justo lo que descubrieron en Brave al probar una sencilla técnica. Publicaron un comentario malicioso en un hilo de Reddit, y luego le pidieron a Comet que resumiera el artículo. Al ir a hacerlo comprobaron cómo Comet no sabía si el contenido de ese hilo podía o no contener instrucciones maliciosas: simplemente se encontró con ellas y las siguió. Y en hilo, como se puede ver en el vídeo, había publicadas unas sencillas instrucciones que le robaban las credenciales de su cuenta de Perplexity e incluso interceptaban el código de verificación que la plataforma enviaba al usuario para logarse en el servicio. Resultado: cuenta robada de forma automática por parte del atacante gracias a la IA.

En Xataka

Los enlaces han sido desde el inicio la unidad básica de comunicación en internet. La IA está exterminándolos poco a poco

Cómo funciona el ataque. Como explican los expertos de Brave, el problema está en que la forma de hackear este tipo de navegadores no es hackeando los navegadores, sino hackear el contenido, algo que es muy, muy sencillo. Los pasos son los siguientes:

Configuración: un ataque escribe instrucciones maliciosas en algún contenido en la web. Si controlan ese sitio, pueden esconder instrucciones usando texto en blanco si el fondo también es blanco, o bien en los comentarios u otros elementos invisibles. También pueden hacerlo directamente «inyectando» esas instrucciones a través de comentarios en publicaciones en redes sociales como Reddit o Facebook.
Activación: un usuario navega a ese sitio web y usa el navegador con IA. Si hace algo sencillo como «resumir esta página» o pide que se extraiga cierta información, se activan esas instrucciones maliciosas.
Inyección: a medida que la IA procesa la información de la página, ve esas instrucciones maliciosas y las sigue. No es capaz de distinguir si el contenido tiene un propósito malicioso o no, y considera todo como parte de lo que debe hacer a petición del usuario.
Explotación: esos comandos e instrucciones maliciosas indican a las herramientas de IA del navegador a realizar diversas acciones, como navegar a la cuenta bancaria del usuario, extraer las contraseñas almacenadas en el navegador o recolectar información a un servidor remoto controlado por el atacante.

Posibles soluciones. Los responsables del estudio indican que para protegerse de este tipo de problemas, los navegadores agénticos deben en primer lugar diferenciar entre lo que le ha pedido el usuario y lo que es el contenido de usuario. El contenido de un sitio web «siempre debería tratarse como no confiable». Además el navegador con IA debería pedir obligatoriamente la interacción del usuario para realizar ciertas acciones, cómo acceder a las contraseñas o quizás enviar un correo. Restringir los permisos al navegador agéntico y hacer buen uso de sistemas de verificación en dos pasos —con aplicaciones móviles como Google Authenticator, por ejemplo— son también formas adecuadas de mitigar un problema que puede poner en muchos problemas el despliegue de estas herramientas.

Imagen destacada | Perplexity, Xataka con Mockuuups Studio

En Xataka | He probado Dia, el navegador que reemplaza a Arc y lo apuesta todo a la IA. No ha salido como esperaba


La noticia

Tener un navegador IA que haga cosas por ti suena muy bien. Hasta que un hacker lo utiliza para robarte todo tu dinero

fue publicada originalmente en

Xataka

por
Javier Pastor

.