A medida que los asistentes de IA se vuelven capaces de controlar navegadores web, ha surgido un nuevo desafío de seguridad: los usuarios deben confiar en que cada sitio web que visitan no intentará secuestrar su agente de IA con instrucciones maliciosas ocultas. Expertos han expresado su preocupación por esta amenaza emergente tras pruebas de un importante proveedor de chatbots de IA que revelaron que los agentes de navegación IA pueden ser engañados para realizar acciones perjudiciales casi una cuarta parte de las veces.
El martes, Anthropic anunció el lanzamiento de Claude para Chrome, un agente de IA basado en navegador que puede realizar acciones en nombre de los usuarios. Debido a preocupaciones de seguridad, la extensión se está implementando solo como una vista previa de investigación para 1,000 suscriptores en el plan Max de Anthropic, que cuesta entre $100 y $200 al mes, con una lista de espera disponible para otros usuarios.
La extensión Claude para Chrome permite a los usuarios chatear con el modelo de IA Claude en una ventana lateral que mantiene el contexto de todo lo que sucede en su navegador. Los usuarios pueden otorgar a Claude permiso para realizar tareas como gestionar calendarios, programar reuniones, redactar respuestas de correo electrónico, manejar informes de gastos y probar características de sitios web.
La extensión del navegador se basa en la capacidad de Uso de Computadora de Anthropic, que la compañía lanzó en octubre de 2024. Esta función experimental permite a Claude tomar capturas de pantalla y controlar el cursor del ratón del usuario para realizar tareas, pero la nueva extensión de Chrome proporciona una integración más directa con el navegador.
En un contexto más amplio, parece que la extensión del navegador de Anthropic refleja una nueva fase en la competencia entre laboratorios de IA. En julio, Perplexity lanzó su propio navegador, Comet, que presenta un agente de IA que intenta descargar tareas para los usuarios. OpenAI también lanzó recientemente un agente de ChatGPT, un bot que utiliza su propio navegador aislado para realizar acciones en la web. Google también ha lanzado integraciones de Gemini con Chrome en los últimos meses.
Sin embargo, esta prisa por integrar la IA en los navegadores ha expuesto una falla de seguridad fundamental que podría poner a los usuarios en riesgo serio.
Desafíos de seguridad y medidas de protección
En preparación para el lanzamiento de la extensión de Chrome, Anthropic afirma haber realizado pruebas exhaustivas que revelaron que los modelos de IA que utilizan navegadores pueden enfrentar ataques de inyección de comandos, donde actores maliciosos insertan instrucciones ocultas en sitios web para engañar a los sistemas de IA y hacer que realicen acciones perjudiciales sin el conocimiento del usuario.
La compañía probó 123 casos representando 29 diferentes escenarios de ataque y encontró una tasa de éxito de ataque del 23.6 por ciento cuando el uso del navegador operaba sin mitigaciones de seguridad.
Un ejemplo involucró un correo electrónico malicioso que instruía a Claude a eliminar correos electrónicos de un usuario por “higiene del buzón”. Sin salvaguardias, Claude siguió estas instrucciones y eliminó los correos electrónicos del usuario sin confirmación.
Anthropic afirma haber implementado varias defensas para abordar estas vulnerabilidades. Los usuarios pueden otorgar o revocar el acceso de Claude a sitios web específicos a través de permisos a nivel de sitio. El sistema requiere confirmación del usuario antes de que Claude realice acciones de alto riesgo como publicar, comprar o compartir datos personales. La compañía también ha bloqueado a Claude el acceso a sitios web que ofrecen servicios financieros, contenido para adultos y contenido pirateado por defecto.
Estas medidas de seguridad redujeron la tasa de éxito de ataque del 23.6 por ciento al 11.2 por ciento en modo autónomo. En una prueba especializada de cuatro tipos de ataques específicos del navegador, las nuevas mitigaciones redujeron la tasa de éxito del 35.7 por ciento a 0 por ciento.
El investigador independiente de IA Simon Willison, quien ha escrito extensamente sobre los riesgos de seguridad de la IA, calificó la tasa de ataque restante del 11.2 por ciento como “catastrófica”, escribiendo en su blog que “en ausencia de una protección 100% confiable, tengo problemas para imaginar un mundo en el que sea una buena idea liberar este patrón”.
Por “patrón”, Willison se refiere a la reciente tendencia de integrar agentes de IA en navegadores web. “Espero firmemente que todo el concepto de una extensión de navegador agente sea fatalmente defectuoso y no pueda construirse de manera segura”, escribió en una publicación anterior sobre problemas de seguridad de inyección de comandos recientemente encontrados en Perplexity Comet.
Los riesgos de seguridad ya no son teóricos. La semana pasada, el equipo de seguridad de Brave descubrió que el navegador Comet de Perplexity podía ser engañado para acceder a las cuentas de Gmail de los usuarios y activar flujos de recuperación de contraseñas a través de instrucciones maliciosas ocultas en publicaciones de Reddit. Cuando los usuarios pidieron a Comet que resumiera un hilo de Reddit, los atacantes podían insertar comandos invisibles que instruían a la IA a abrir Gmail en otra pestaña, extraer la dirección de correo electrónico del usuario y realizar acciones no autorizadas. Aunque Perplexity intentó solucionar la vulnerabilidad, Brave confirmó más tarde que sus mitigaciones fueron superadas y el agujero de seguridad permaneció.
Por ahora, Anthropic planea utilizar su nueva vista previa de investigación para identificar y abordar patrones de ataque que surjan en el uso del mundo real antes de hacer que la extensión de Chrome esté más ampliamente disponible. En ausencia de buenas protecciones por parte de los proveedores de IA, la carga de seguridad recae en el usuario, quien está asumiendo un gran riesgo al usar estas herramientas en la web abierta. Como señaló Willison en su publicación sobre Claude para Chrome, “no creo que sea razonable esperar que los usuarios finales tomen buenas decisiones sobre los riesgos de seguridad”.
Fuente original: ver aquí
