Browserele AI — produse asemănătoare Chrome în care un agent dă click, citește și completează formulare în locul tău — intră rapid în companii, de multe ori prin angajați care pur și simplu le instalează. Două cercetări publicate în iunie 2026 arată de ce echipele de securitate au nevoie de o poziție acum, nu mai târziu.
BioShocking: agentul care a uitat realitatea
Cercetătorii de la LayerX au construit un proof-of-concept numit BioShocking: o pagină web malițioasă care prezintă un joc-puzzle (cu temă BioShock) în care răspunsurile greșite sunt recompensate. Pas cu pas, jocul îl învață pe agentul AI al browserului că regulile normale nu se aplică. „Ultimul pas al jocului" îi cere agentului să viziteze un repository și să copieze date — inclusiv parole.
Toate cele șase browsere agentice testate au picat: ChatGPT Atlas, Comet, Fellou, Genspark, Sigma și plugin-ul Claude pentru Chrome. În cuvintele LayerX, odată ce agenții au învățat că acțiunile „incorecte" sunt acceptabile, nu au mai fost legați de realitate — niciunul dintre cei șase nu a recunoscut că a compromite credențialele utilizatorului îi încalcă regulile de siguranță. La momentul publicării, doar OpenAI livrase o remediere funcțională.
Problema de fond nu e un bug anume. E faptul că un agent AI nu poate distinge fiabil un scenariu fictiv de o operațiune reală sensibilă. Orice pagină pe care o citește este o potențială instrucțiune.
AutoJack: de la pagină web la execuție de cod
Cercetătorii Microsoft au demonstrat un al doilea mod de eșec cu AutoJack, un lanț de exploatare în versiunile pre-release ale AutoGen Studio. O pagină malițioasă încărcată de un agent AI local putea ajunge la un serviciu privilegiat pe localhost — care avea încredere în orice venea local și sărea peste autentificare pe endpoint-urile MCP — și putea rula o comandă aleasă de atacator direct pe mașină. Fără credențiale, fără altă interacțiune din partea utilizatorului dincolo de deschiderea paginii de către agent.
Lecția pe care o trage chiar Microsoft depășește un singur produs: din momentul în care un agent poate naviga pe internet și poate accesa servicii locale, localhost nu mai este o graniță de încredere. Același tipar e de așteptat și în alte framework-uri de agenți.
Ce înseamnă asta pentru organizația ta
Puse cap la cap, cele două cercetări conturează clar modelul de risc:
- Un browser sau agent AI rulează cu identitatea și accesul angajatului tău — mailbox, sesiuni SaaS, aplicații interne.
- Fiecare pagină web procesată este input neverificat care îi poate dirija comportamentul, iar barierele de siguranță pică demonstrabil în fața unor scenarii creative.
- Dacă agentul are și integrări locale, o pagină poate ajunge dincolo de browser, pe mașină.
Nu e un motiv de panică, dar e un motiv de politică internă. Întrebările la care ai răspuns cândva pentru extensii de browser și macro-uri se aplică acum agenților — cu mize mai mari.
O poziție practică de start
- Decide explicit dacă browserele AI sunt permise — și care anume. „Ce își instalează angajații" e tot o decizie, doar că una negestionată.
- Ține agenții departe de bijuteriile coroanei. Nu lăsa sesiunile agentice logate în banking, console de administrare, HR sau sisteme de producție. Majoritatea platformelor permit restricționarea site-urilor pe care agentul poate acționa — folosește opțiunea.
- Cere confirmare pentru acțiuni sensibile. Preferă produsele care impun un click uman înainte de trimiterea formularelor, a datelor sau descărcarea fișierelor.
- Izolează tooling-ul local de agenți. Framework-urile de dezvoltare (AutoGen și rudele lui) nu ar trebui să împartă mașina cu un agent care navighează conținut neverificat; separă-le în containere sau VM-uri, cu conturi cu privilegii minime.
- Include subiectul în trainingul de conștientizare. Angajații trebuie să înțeleagă că un browser AI care acționează „în numele lor" poate fi manipulat de pagina pe care o citește.
Testează-ți propria suprafață de atac AI
Dacă organizația ta construiește sau folosește asistenți AI, agenți sau funcționalități bazate pe LLM, suprafața de atac de mai sus este a ta, nu doar a furnizorului. Prompt injection, abuzul de unelte și exfiltrarea de date prin comportamentul modelului sunt exact ce descoperă un test de penetrare AI/LLM — înainte să o facă o pagină web creativă în locul tău.
Rezumatul onest al cercetărilor din iunie: agenții au făcut ce li s-a spus. Problema e cine le spunea.
Acest articol este informare generală bazată pe cercetările publice LayerX și Microsoft, așa cum au fost raportate de BleepingComputer și The Hacker News.
