Nalaman ng LayerX na ang Perplexity's Comet Browser ay Hanggang 85% Mas Mahina sa Phishing at Mga Pag-atake sa Web kaysa sa Chrome
Ipinapakita ng bagong pananaliksik ng LayerX na ang mga bagong AI browser, at partikular na ang Comet browser at Genspark ng Perplexity, ay nagpapakita ng nakababahalang mababang rate ng tagumpay sa pagharang kahit sa mga hindi maayos na pagkakagawa at malinaw na malisyosong phishing website.
Ang mga natuklasang ito, batay sa pananaliksik ng LayerX security researcher na si Paloma Perlov, ay napakahalaga habang inilalantad nila ang bago at lumalawak na banta sa mga AI browser. Ang mga implikasyon ay na kung walang wastong mga pananggalang sa seguridad, ang mga user ng AI browser ay nasa mas mataas na panganib na mabiktima ng phishing at mga pag-atake sa web, na maaaring samantalahin ang built-in na AI engine upang magnakaw ng mga kredensyal at pribadong data ng mga user.
Ang mga AI Browser ay isang Bagong Control Point para sa AI
Ang mga browser ng AI ay isang umuusbong na interface para sa paggamit ng AI. Isang bagong henerasyon ng mga AI browser, tulad ng Comet (by Perplexity), Dia (by the makers of Arc browser), Genspark, Edge Copilot, pati na rin ang paparating na mga browser ng Opera (Neon) at isang rumored AI browser ng OpenAI, ay direktang isinasama ang AI sa pang-araw-araw na karanasan sa pagba-browse. Gayunpaman, ang bagong interface ng trabaho na ito ay lumilikha din ng isang bagong banta sa ibabaw na maaaring pagsamantalahan ng mga masasamang aktor upang ito magnakaw ng mga kredensyal at data ng user.
Nalaman ng bagong teknikal na pananaliksik ng LayerX na ang mga bagong AI browser ay hindi kapani-paniwala nakalantad sa phishing at mga pag-atake sa web, kumpara sa mga tradisyonal na hindi AI na browser. "Nangunguna" sa pack ng AI browser sa mga tuntunin ng kahinaan ay ang Comet at Genspark browser, na nagbigay-daan sa mahigit 90% ng mga nakompromisong web page na dumaan.
Bagama't ang mga modernong browser ay hindi immune sa mga kahinaan sa web, kadalasang kasama nila ang mga built-in na mekanismo upang i-filter ang mga kilalang nakakahamak na website. Ang mga mekanismong ito ay karaniwang nakabatay sa alinman sa mga katangian ng pahina (hal., walang SSL certificate), o mga listahan ng mga kilalang peligrosong website.
Gayunpaman, natuklasan ng pananaliksik ng LayerX na kahit ang mga kakayahang ito ay - sa halos lahat ng bahagi - ay hindi ipinatupad sa Comet at Genspark, na nag-iiwan sa kanilang mga gumagamit ng mas mataas na kahinaan sa phishing at mga pag-atake sa web.
Sinubukan ng LayerX ang tatlong bagong AI browser - Comet, Genspark, at Dia - at inihambing ang mga ito sa dalawang pinakasikat na non-AI browser - ang Google Chrome at Microsoft Edge.
Sinubukan ng pangkat ng pananaliksik ng LayerX ang bawat browser laban sa 100 pinakahuling pag-atake sa phishing na iniulat sa nangungunang mga website ng kahinaan gaya ng OpenPhish at PhishTank, at sinuri kung pinapayagan silang dumaan. Inihambing din namin ang mga ito laban sa sariling mga proteksyon ng LayerX, na na-deploy sa pamamagitan ng add-on ng browser ng LayerX.
Ang mga natuklasan ay nagpapakita na ang Edge ay ang pinaka-epektibong browser sa paghinto ng phishing at mga pag-atake sa web out-of-the-box, na may 54% rate ng tagumpay. Ang Google Chrome ay pumangalawa, na may 47%, na sinundan ng malapit ni Dia, sa 46%. Ang pagsasara ng pack ay ang Comet at Genspark, sa 7% lamang bawat isa.
Gayunpaman, ang mga built-in na proteksyon ng AI ng LayerX ay nakakamit ng 98% na rate ng katumpakan sa pag-detect ng mga pagtatangka sa phishing, na nagpapakita kung paano epektibong mapoprotektahan ng mga panlabas na proteksyon, tulad ng mga inaalok ng LayerX, ang mga user ng browser mula sa phishing.
Karamihan sa mga Browser ay Gumagamit ng Google para sa Pinagbabatayang Code - at mga Proteksyon sa Phishing
Upang maunawaan kung paano gumagana ang karamihan sa mga proteksyon sa phishing ng browser, kailangan muna nating maunawaan ang mga web browser.
Ang Chrome ang pinakasikat na browser ngayon, na may higit sa 70% pandaigdigang bahagi ng merkado.
Gayunpaman, ginagawang bukas ng Google ang foundational source code ng Chrome (binawasan ang ilang mga pinagmamay-ariang elemento at add-on) sa ilalim ng Chromium Project. Bilang resulta, karamihan sa mga web browser ngayon, kabilang ang Microsoft Edge, Arc, Brave, Opera, at iba pa, ay mga derivatives ng Chromium. Nangangahulugan ito na sa ilalim ng hood, karamihan sa mga web browser ngayon ay gumagana nang katulad, na may mga pagkakaiba na kadalasang dumarating sa user interface at mga karagdagang feature.
Habang nagsisimulang lumabas ang mga bagong AI browser, sila rin, karamihan ay nakabatay sa pinagbabatayan ng Google: Comet (by Perplexity), Dia (by The Browser Company), at Genspark ay lahat ay nakabatay sa Chromium.
Gayunpaman, bukod sa source code ng browser, nagbibigay din ang Google ng mga built-in na feature ng seguridad sa web upang maprotektahan laban sa mga mapanganib na website.
Nagbibigay ang Google ng Ligtas na Pagba-browse serbisyo ng mga listahan ng mga kilalang masamang URL. Available ang mga listahang ito sa pamamagitan ng Safe Browsing API (para sa hindi pangkomersyal na paggamit) o ​​sa Web Risk API (para sa komersyal na paggamit).
Nag-aalok ang Google ng dalawang layer ng built-in na phishing at mga proteksyon sa kahinaan:
- Mga Listahan ng Mga Hindi Kilalang URL: Proteksyon laban sa mga kilalang umiiral nang malisyosong URL, batay sa mga listahan ng mga naunang naiulat na mga web page. Bagama't sinasaklaw lamang nito ang mga kilalang masasamang URL, at hindi nagpoprotekta laban sa 0-oras at mabilis na pag-ikot ng mga URL, nagbibigay ito ng makatwirang proteksyon laban sa mga kilalang masasamang website. Ang proteksyong ito ay makikita sa pagharang ng mga pahina na may pulang background (ang mga pahinang "pulang bloke").
- Pag-detect ng Mga Insecure na Koneksyon sa Antas ng Network: Proteksyon laban sa mga page na may sira, hindi kumpleto, o nawawalang TLS/SSL certificate. Bagama't ang mga error sa mga sertipiko ng pag-encrypt ay hindi, sa kanilang mga sarili, na katibayan ng malisyosong aktibidad, ang mga ito ay kadalasang mga tagapagpahiwatig ng mga pekeng o masquerading na pahina. Ang mga error na ito ay makikita sa pagharang ng mga pahina na may puting background (ang mga "white block" na mga pahina).
Natuklasan namin na karamihan sa mga browser sa pagsubok na ito - na pawang mga derivatives ng Chromium - ay gumamit ng pinagbabatayang proteksyon ng Google sa ilang antas. Gayunpaman, nakahanap ang LayerX ng mga makabuluhang pagkakaiba sa lawak ng paggamit at lawak ng proteksyon.
Ang Edge ay May Pinakamahusay na Pangkalahatang Pagganap, Comet at Genspark Lag Far Behind
Ang pagsusuri sa pagganap sa lahat ng browser ay nagpakita na ang Edge ay may pinakamahusay na pangkalahatang built-in na proteksyon sa phishing, na may 54% na rate ng katumpakan. Ang Edge ay ang tanging browser na tila hindi gumagamit ng mga proteksyon sa phishing ng Google. Bagama't pareho silang pareho sa pangkalahatan sa kanilang pagtatasa ng humigit-kumulang 80% ng mga website, nalaman namin na para sa humigit-kumulang 14% ng mga site, may kalamangan ang Edge, habang ang Chrome ay mas tumpak sa pagtukoy ng mga insidente ng phishing para sa humigit-kumulang 6% ng mga website.
Bagama't bahagya lang na-block ng Edge ang higit sa kalahati ng mga hindi ligtas na website na nasubok, nagbigay ito ng pinakamahusay na out-of-the-box na pagganap ng lahat ng nasubok na browser, at nalampasan ang Chrome. Nangangahulugan ito na ang mga gumagamit ng Edge (at Edge Copilot Mode) ay ang pinakamahusay na protektado sa mga gumagamit ng komersyal at AI browser (nang hindi ito dinadagdagan ng mga panlabas na proteksyon sa phishing, siyempre).
Ang Chrome - ang benchmark ng industriya - ay humarang sa wala pang kalahati ng mga malisyosong site na sinubukan, sa 47%. Bagama't nagpakita ng bisa ang mga built-in na mekanismo ng Chrome sa halos kalahati ng mga kaso, ipinapakita ng pagsubok na ito kung paano nakakaligtaan ng mga built-in na mekanismo ng pinakasikat na browser sa mundo ang mahigit kalahati ng mga pagkakataon ng phishing, na nag-iiwan sa mga user na nalantad.
Higit pa rito, dahil ang mga proteksyon sa ligtas na pagba-browse ng Chrome ay nakabatay sa mga listahan ng mga kilalang masasamang URL, ayon sa kahulugan, hinahayaan nila ang mga user na masugatan sa mga bagong "zero-day" na pag-atake ng phishing na hindi pa na-flag at hindi pa nagagawa sa mga listahan ng threat intelligence feed ng mga peligrosong website. Bilang karagdagan, dahil kahit na ang maliliit na pagbabago sa URL ay maaaring gawing walang kabuluhan ang pagkakakilanlan na ito, ang mga umaatake ay lalong nagde-deploy ng mga phishing kit na may mabilis na pag-ikot ng mga URL na may maikling "live" na mga oras, upang sa oras na ang URL ay na-flag, sila ay lumipat na sa isang bagong URL. Nangangahulugan iyon na ang mga proteksyon sa phishing ay nangangailangan ng isang mas dynamic na diskarte na umaasa sa pag-scan ng mga nilalaman ng pahina at konteksto, at hindi lamang sa reputasyon ng URL.
Si Dia, na wastong natukoy ang 46% ng mga website ng phishing, ay halos nauugnay sa Chrome, na nagsasaad na ganap nilang ipinapatupad ang mga ligtas na API sa pagba-browse ng Google. Halos bawat page na na-block ng Chrome ay na-block ni Dia, at vice versa. Sa kabaligtaran, ang mga page na hindi na-block sa Chrome ay pinapayagan din sa Dia. Sa pangkalahatan, ang dalawang browser ay magkasundo sa 97% ng mga kaso. Sa parehong mga pagkakataon, ang mga pagkilos sa pag-block ay pangunahing nakabatay sa URL na minarkahan bilang isang hindi ligtas na URL, sa pamamagitan ng mga pahina ng "pulang bloke".
Anong maliliit na variation (humigit-kumulang 3% ng mga kaso) ang natukoy namin sa proteksyon ng phishing ng Dia kumpara sa Chrome ang iniuugnay namin sa mga maliliit na agwat sa oras sa pagitan ng aming mga pagsubok at ng mga hindi magandang URL na ina-update sa mga listahan ng Google. Sa pangkalahatan, ipinahihiwatig ng aming pananaliksik na ang mga user ng Dia ay may antas ng seguridad na katulad ng sa Google Chrome.
Nakalulungkot, hindi namin masasabi ang pareho tungkol sa iba pang mga AI browser.
Ang Kometa at Genspark ay Nagpakita ng Mga Malaking Gaps sa Proteksyon
Ipinapakita ng pananaliksik ng LayerX na ang Comet at Genspark ay parehong nagpakita ng malalaking gaps sa proteksyon laban sa mga pag-atake ng phishing.
Sa pagsusuri sa 100 mga website ng phishing, lumilitaw na hindi ipinapatupad ni Comet o Genspark ang mga proteksyon sa ligtas na pagba-browse ng Google laban sa mga kilalang nakakahamak na pahina. Sa parehong mga kaso, huminto lamang sila ng 7% ng mga kilalang pahina ng phishing, at nabigong harangan ang 93% ng mga kilalang aktibong site ng phishing.
Upang ilarawan, sa ibaba ay isang maikling video na nagpapakita kung gaano kahusay ang Comet, Genspark, Dia at Edge laban sa isang kilalang malisyosong URL. Habang hinarang ito nina Edge at Dia (batay sa mga listahan ng Google), pinayagan ito ng Comet at Genspark na dumaan sa:
Gayunpaman, hindi lahat ay malabo sa lahat ng mga browser, at lahat sila ay nabigo kapag nakaharap sa isang hindi kilalang "zero-day" na link sa phishing:
Ang LayerX, sa kabilang banda, ay natukoy nang tama ang mga naturang pag-atake at na-block ang mga ito nang may 98% na katumpakan:
Habang ang mga kilalang masasamang website ay minarkahan bilang ganoon sa Chrome at Dia (gamit ang mga pahinang "pulang bloke"), walang pahina ng phishing na na-block ng Comet o Genspark sa ganitong paraan. Isinasaad nito na ang Comet at Genspark ay hindi nagpapatupad ng mga ligtas na proteksyon sa pagba-browse ng Google, at hindi nagbibigay ng aktibong pagkakakilanlan ng mga nakakahamak na website.
Ilang pahina ng phishing ang na-block ng Comet at Genspark ay ginawa gamit ang mga pahina ng Insecure Connection (ang mga pahinang "white block"). Ang mga uri ng aktibidad sa pagharang na ito ay hindi batay sa aktibong pagkakakilanlan ng mga pahina ng phishing, ngunit sa halip sa pagtukoy ng mga error sa antas ng network.
Kapansin-pansin, ang mga pahina ng pag-block ng Comet ay may kasamang prompt sa mga user na "I-on ang pinahusay na proteksyon upang makuha ang pinakamataas na antas ng seguridad ng Comet" (nakikitang naka-highlight sa ibaba).
Gayunpaman, ang pag-click sa mga link na iyon ay humantong sa isang pahina ng mga setting ng Seguridad kung saan ang "Ligtas na Pagba-browse" Standard na proteksyon ay pinagana na, na walang opsyon para sa "Pinahusay" na seguridad.
Batay sa aming pagsusuri, ang mga gumagamit ng Comet at Genspark browser ay hindi kapani-paniwala nakalantad sa phishing at malisyosong mga web page, hanggang sa 85% higit pa kaysa sa mga user ng Chrome, Edge at Dia.
Kapag Nasa Iyong Browser ang AI, Higit na Mahalaga ang Proteksyon sa Phishing kaysa Kailanman
Ang paglitaw ng mga agentic AI browser na kayang mag-navigate sa mga website, kumpletuhin ang mga transaksyon, at mag-access ng mga sensitibong account nang awtomatiko sa ngalan ng mga user ay lumikha ng mga walang kapantay na kahinaan sa seguridad na ginagawang mas mahalaga kaysa dati ang matibay na proteksyon sa phishing.
Hindi tulad ng mga tradisyunal na browser kung saan manu-manong nakikipag-ugnayan ang mga user sa mga website, gumagana ang mga ahenteng browser na may ganap na mga pribilehiyo ng user sa lahat ng na-authenticate na session, kabilang ang mga banking, healthcare, at email account. Lumilikha ito ng napakalaking pag-atake kung saan ang isang nakompromisong pakikipag-ugnayan ay maaaring magkaroon ng mga sakuna na kahihinatnan.
Gaya ng ipinakita ni Ang pananaliksik ni Brave sa Comet browser ng Perplexity, ang mga umaatake ay maaaring mag-embed ng mga malisyosong tagubilin sa tila hindi nakapipinsalang nilalaman sa web, gaya ng puting teksto sa mga puting background, mga komento sa HTML, o kahit na mga komento sa Reddit, na nanlinlang sa mga katulong ng AI sa pagsasagawa ng mga hindi awtorisadong pagkilos.
Ang mga pag-atakeng "indirect prompt injection" na ito ay lumalampas sa mga tradisyonal na mekanismo ng seguridad sa web tulad ng patakaran sa parehong pinagmulan at mga proteksyon ng CORS dahil ang AI ay gumagana bilang isang mapagkakatiwalaang ahente ng gumagamit. Kapag pinoproseso ng isang AI browser ang nilalaman ng webpage upang ibuod o makipag-ugnayan dito, ang mga malisyosong tagubilin na nakatago sa loob ng nilalamang iyon ay maaaring mag-redirect sa AI upang magnakaw ng mga kredensyal sa pag-login, ma-access ang impormasyon sa pagbabangko, o maglabas ng sensitibong data sa mga server na kontrolado ng attacker.
Ang kahinaan ay partikular na mapanganib dahil ang mga pag-atake ay maaaring mangyari sa pamamagitan ng nilalamang binuo ng gumagamit sa mga platform na hindi kontrolado ng umaatake, at ang pagpapatupad ay awtomatikong nangyayari nang walang karagdagang input ng gumagamit kapag na-trigger. Ang isang simpleng kahilingan na "ibuod ang pahinang ito" ay maaaring magresulta sa kumpletong pagkuha ng account o pagnanakaw sa pananalapi.
Para sa mga kadahilanang ito, mas kritikal kaysa dati para sa mga browser ng AI na magpatupad ng mga bago, partikular na proteksyon laban sa mga pag-atake ng phishing. Kabilang dito ang pagtiyak na ang browser ay nakikilala sa pagitan ng pinagkakatiwalaan at mapanganib na nilalaman ng web, pagtukoy ng parehong kilala at hindi kilalang pag-atake ng phishing, at pagliit ng panganib para sa mga user ng AI browser.
Buod: Ito ay isang Nakakatakot na Bagong AI Browser World Out There
Ang paglitaw ng mga bago, ahenteng AI browser, habang nag-aalok ng makapangyarihang mga bagong kakayahan, ay nagpapakilala rin ng mga makabuluhang panganib sa seguridad.
Gaya ng ipinapakita ng pananaliksik ng LayerX, ang mga AI browser tulad ng Comet at Genspark ng Perplexity ay nagpapakita ng matinding kakulangan ng built-in na mga proteksyon sa phishing, na ginagawa silang hanggang 85% na mas mahina kaysa sa Chrome. Nakababahala ito lalo na dahil sa kanilang kakayahang makipag-ugnayan nang awtomatiko sa nilalaman ng web at mga sensitibong account ng user, na nagbubukas ng pinto para sa mga bagong pag-atake tulad ng mga hindi direktang iniksyon at agarang nangangailangan ng karagdagang mga layer ng proteksyon.
Bagama't nag-aalok ang mga browser tulad ng Microsoft Edge at Google Chrome ng antas ng seguridad laban sa mga kilalang banta, ang kanilang mga proteksyon ay kadalasang hindi sapat laban sa mabilis na umuusbong na mga "zero-day" na pag-atake. Itinatampok nito ang kritikal na pangangailangan para sa mga developer ng AI browser na unahin ang matatag at dynamic na mga mekanismo ng seguridad upang protektahan ang mga user mula sa mga bagong anyo ng mga pag-atake na nakabase sa web.
Para sa mga user at enterprise na gumagamit ng mga bagong AI browser, binibigyang-diin ng mga natuklasang ito ang kahalagahan ng labis na pag-iingat sa mga AI browser at pagpapalaki ng kanilang proteksyon sa mga karagdagang hakbang sa seguridad.
Para sa karagdagang impormasyon kung paano ka mapoprotektahan ng LayerX laban sa mga pag-atake ng phishing sa anumang browser, mag-iskedyul ng demo ngayon.
