Badanie USENIX Security Symposium opublikowane w sierpniu 2025 r. ujawniło, że popularne rozszerzenia przeglądarki AI zbierają wrażliwe dane użytkowników, w tym dokumentację medyczną, informacje bankowe, numery ubezpieczenia społecznego i aktywność w mediach społecznościowych. Analizę przeprowadzili naukowcy z University College London, Mediterranea University of Reggio Calabria i University of California w Davis. Odkrycia uwydatniły zagrożenia prywatności w przeglądarkach internetowych wspomaganych sztuczną inteligencją, które zyskały na popularności od czasu ich wprowadzenia w 2025 r. Przeglądarki wspomagane sztuczną inteligencją, takie jak Atlas OpenAI i Comet firmy Perplexity, oferują funkcje takie jak podsumowania witryn internetowych, ulepszone wyszukiwania, chatboty i autonomiczne wykonywanie zadań. Narzędzia te rzucają wyzwanie uznanym przeglądarkom, w tym Google Chrome, który posiada 70 procent światowego rynku, a także Safari, Edge i Firefox. Inni uczestnicy to integracje Opera Neon, Dai i ChatGPT. McKinsey & Company prognozuje, że do 2028 r. branża przeglądarek wygeneruje 750 miliardów dolarów przychodów. Przeglądarki oparte na sztucznej inteligencji działają dzięki stałym chatbotom, które analizują otwarte strony internetowe, oraz trybom agentycznym, które obsługują takie zadania, jak wypełnianie formularzy, zakupy w serwisie Amazon czy redagowanie esejów. Przetwarzają zawartość strony internetowej wraz z wcześniejszymi żądaniami, historiami wyszukiwania i interakcjami bez instrukcji użytkownika. Rozszerzenia przeglądarki służą jako interfejsy dla modeli takich jak ChatGPT OpenAI, Gemini firmy Google i Lama Meta. Rozszerzenia wstawiają skrypty treści na strony internetowe za pośrednictwem procesów roboczych działających w tle, umożliwiając autonomiczne pobieranie danych. Różni się to od chatbotów internetowych, które przetwarzają jedynie dane wprowadzone przez użytkownika. Badanie USENIX skupiało się na rozszerzeniach przeglądarek, a nie na pełnych przeglądarkach, ponieważ liderzy tacy jak Atlas i Comet wprowadzili na rynek po jego zakończeniu. Przeanalizowane rozszerzenia obejmowały ChatGPT dla Google, Sider, Monica, Merlin, MaxAI, Perplexity, HARPA, TinaMind i Copilot firmy Microsoft. Badacze symulowali przeglądanie w kontekście prywatnym i publicznym: czytanie wiadomości, oglądanie filmów na YouTube, oglądanie pornografii i wypełnianie formularzy podatkowych. Rozszerzenia przechwytują obrazy i tekst, takie jak diagnozy medyczne, numery ubezpieczenia społecznego i preferencje aplikacji randkowych. Merlin przekazał dane bankowe i dokumentację medyczną. Merlin i Sider AI rejestrują aktywność nawet w trybach przeglądania prywatnego. Analiza ruchu po odszyfrowaniu wykazała transmisję do serwerów firmowych i zewnętrznych modułów śledzących. Sider i TinaMind udostępniały monity użytkowników i adresy IP Google Analytics, ułatwiając śledzenie w wielu witrynach. Copilot firmy Microsoft zachowywał historie czatów z sesji w pamięci przeglądarki. Google, Copilot, Monica, ChatGPT i Sider profilowały użytkowników według wieku, płci, dochodów i zainteresowań, aby uzyskać spersonalizowane odpowiedzi podczas wielu sesji. Wśród testowanych narzędzi najbardziej szanujące prywatność okazało się zakłopotanie. Nie pamięta wcześniejszych interakcji, a jego serwery unikają danych osobowych z przestrzeni prywatnych. Perplexity nadal przetwarza tytuły stron i lokalizację użytkownika. Po badaniu OpenAI wypuściło Atlas. Według OpenAI Atlas selektywnie analizuje zawartość, ale przetwarza wszystkie obrazy i tekst witryny. Opcjonalne funkcje pamięci przechowują elementy historii przeglądania w celu dostosowania wrażeń. Użytkownicy nie mogą określić, jakie aspekty witryny pobiera przeglądarka. Strona pomocy OpenAI zaleca usuwanie stron z okna czatu, blokowanie wrażliwych adresów URL lub usuwanie historii w celu ograniczenia narażenia. Atlas zawiera dwa ustawienia związane z danymi. Opcja „Ulepsz model dla wszystkich” jest domyślnie aktywowana i pozwala OpenAI wykorzystywać dane strony internetowej z zapytań chatbota do szkolenia ChatGPT. Opcja „Uwzględnij przeglądanie sieci” włącza do szkolenia pełną historię przeglądania. OpenAI anonimizuje dane przed wykorzystaniem w szkoleniu, chociaż szczegółowe informacje na temat granic pozostają ograniczone. Użytkownicy mogą wyłączyć oba ustawienia. Comet firmy Perplexity przechowuje historię wyszukiwania lokalnie na urządzeniach użytkowników, a nie na serwerach. Uzyskuje dostęp do adresów URL, tekstu, obrazów, zapytań wyszukiwania, historii pobierania i plików cookie dla podstawowych funkcji. Tryb agenta i narzędzie pamięci Cometa analizują historię wyszukiwania i preferencje. Przeglądarka żąda dostępu do konta Google, obejmującego e-maile, kontakty, ustawienia i kalendarze, z możliwością wyrażenia zgody na integrację z firmami zewnętrznymi. Strona wyjaśniająca szczegóły dotyczące ustawień danych firmy Perplexity. Eksperci zalecają ograniczenie paska bocznego chatbota do niewrażliwych stron. Firmy zajmujące się sztuczną inteligencją często wykorzystują przechowywane dane użytkowników do szkolenia modeli dużych języków bez wyraźnej zgody. Praktyka ta wykracza poza sztuczną inteligencję i obejmuje media społecznościowe, sprzedawców detalicznych, wyszukiwarki i usługi przesyłania wiadomości poprzez nieprzejrzyste umowy i domyślne zgody. Przeglądarki uzyskują dostęp do bardziej wrażliwych informacji niż inne platformy. W pierwszej połowie 2025 r. OpenAI spełniło 105 wniosków rządu USA o udostępnienie danych. Luki w zabezpieczeniach potęgują problemy związane z prywatnością. Ataki polegające na natychmiastowym wstrzykiwaniu umożliwiają hakerom osadzanie złośliwej zawartości w backendach przeglądarki, nieodróżnialnej od legalnych danych wejściowych. Umożliwiają one phishing i kradzież danych uwierzytelniających, danych bankowych i danych osobowych. W badaniu Brave przeprowadzonym w październiku 2025 r. opisano szybkie zastrzyki jako systemowe wyzwanie dla przeglądarek AI, zwiększające ryzyko phishingu. Według danych LayerX Security, użytkownicy Perplexity Comet są o 85% bardziej podatni na takie ataki w porównaniu z użytkownikami przeglądarki Chrome. Dane Stuckey, dyrektor ds. informatyki OpenAI, stwierdził w X, że natychmiastowe wstrzyknięcie „pozostaje marginalnym, nierozwiązanym problemem bezpieczeństwa”. Na blogu Perplexity wezwano firmy zajmujące się sztuczną inteligencją do „przemyślenia bezpieczeństwa od podstaw”. Badacze z USENIX przetestowali rozszerzenia w kontrolowanych scenariuszach, aby zmierzyć przechwytywanie danych. Podczas przeglądania wiadomości rozszerzenia rejestrują tekst i obrazy artykułów. Sesje w YouTube zaowocowały przechwytywaniem miniatur filmów i zbieraniem komentarzy. Strony z pornografią prowadziły do rejestrowania zdjęć i preferencji. Symulacje formularzy podatkowych ujawniły numery ubezpieczenia społecznego i szczegóły finansowe. Odszyfrowany ruch z Merlina pokazywał transmisję danych zdrowotnych w postaci zwykłego tekstu, w tym diagnoz, takich jak notatki dotyczące leczenia cukrzycy, oraz dane logowania do banków z numerami kont. Pakiety Sider AI zawierały adresy IP w połączeniu z podpowiedziami zawierającymi identyfikatory osobiste. TinaMind przekierowała podobne dane do punktów końcowych Google Analytics. Lokalna pamięć Copilota zachowała dzienniki rozmów, w tym zapytania dotyczące planowania finansowego powiązane ze szczegółami dochodów z poprzednich witryn. Przykłady profilowania obejmowały wnioskowanie przez firmę Sider o płci użytkownika na podstawie witryn handlowych i wieku na podstawie preferencji dotyczących wiadomości, a następnie stosowanie ich do rekomendacji przypominających reklamy. Ograniczenia zakłopotania uniemożliwiały pamięć między sesjami, blokując profilowanie. Dzienniki serwera zawierały jedynie metadane, takie jak tytuły stron („Logowanie – Bank of America”) i współrzędne geolokalizacyjne, bez treści z prywatnych zakładek. Dokumentacja Atlasu potwierdza OCR obrazu i ekstrakcję tekstu na wszystkich kartach. Migawki pamięci obejmują listy adresów URL i podsumowane historie, takie jak „Odwiedzony koszyk Amazon z elektroniką”. Osoby wyrażające zgodę na szkolenie przetwarzają dane za pośrednictwem potoków anonimizacji, mieszania adresów IP i sesji agregujących, zgodnie z ujawnieniami OpenAI. Lokalna pamięć Comet wykorzystuje IndexedDB do przechowywania historii i opcjonalnie synchronizuje się z kontami Perplexity. Integracja z Google wymaga zakresów OAuth w celu uzyskania dostępu do odczytu/zapisu w Gmailu i Kalendarzu. Narzędzia innych firm, takie jak Zapier, łączą się za pomocą kluczy API. Wnioski rządowe kierowane do OpenAI obejmowały wezwania do dochodzenia w sprawie zagrożeń i nakazy bezpieczeństwa narodowego, obejmujące 6000 kont użytkowników. Dzienniki zgodności zawierają szczegółowe informacje na temat typów danych: czatów, plików i śladów adresów IP. Październikowa analiza Brave symulowała 500 prób wstrzyknięcia w różnych przeglądarkach. Modele AI wykonały 72 procent złośliwych monitów w porównaniu z 4 procentami w tradycyjnych przeglądarkach. LayerX przetestowało 1200 użytkowników: sesje Comet przyniosły 2,1 exploitów na godzinę, Chrome 1.1. Mechanika wstrzykiwania rozszerzeń opiera się na pracownikach usługi Manifest V3, przyznających szerokie uprawnienia na karcie. Autonomia wynika z dopasowywania „content_scripts” do wszystkich adresów URL i przesyłania drzew DOM do LLM. Kontekst rynkowy pokazuje, że Chrome miał 70-procentowy udział w danych StatCounter pod koniec 2025 roku. Przeglądarki wykorzystujące sztuczną inteligencję przejęły łącznie 12 procent według LikeWeb. Integracje Firefoksa AI zwiększyły jego udział do 8 procent.
Source: Duże badanie USENIX wykazało, że rozszerzenia przeglądarki AI kradną Twoje dane
