Przeglądarki AI nie są ryzykowne dlatego, że dodają chatbota do karty. Ryzyko zaczyna się wtedy, gdy chatbot staje się agentem: czyta strony, przechodzi po linkach, klika, pamięta kontekst i działa w sesjach, w których użytkownik jest już zalogowany. To nie jest już wygodniejsza wyszukiwarka. To nowa granica zaufania wewnątrz przeglądarki.

Agent przeglądarki AI zatrzymany przez granice izolacji, gdy podejrzana strona próbuje prompt injection

Dwie świeże linie badań dobrze to pokazują. University of Washington zbadał siedem agentic browsers i stwierdził, że cztery tworzą warunki do obejścia same-origin policy, zasady, która blokuje jednej stronie odczyt danych z innej. Pełny proof of concept wykonano na ChatGPT Atlas. Podobne warunki opisano dla Chrome with Gemini, Claude for Chrome i Perplexity Comet. Osobno LayerX pokazał BioShocking, atak, który wciąga przeglądarkę AI w fałszywą rzeczywistość gry, aż guardrails przestają działać jak realna granica.

To nie jest powód do paniki. To powód, by przestać traktować agentic browser jak zwykłą przeglądarkę z lepszym autouzupełnianiem. Web opiera się na separacji. Agenci ją rozmazują, bo czytają tekst jednocześnie jako treść i instrukcję.

Same-origin policy po ludzku

Same-origin policy to jedna z cichych ochron, dzięki którym web działa. Sklep, poczta i bank mogą być otwarte w tej samej przeglądarce, ale skrypt z jednego origin nie powinien swobodnie czytać danych z innego. MDN definiuje origin przez scheme, host i port. Praktyczny sens jest prosty: losowa strona nie powinna wyciągnąć treści poczty tylko dlatego, że obie karty są otwarte.

Ta ochrona istnieje od lat 90. Użytkownicy rzadko ją widzą, ale pozwala trzymać wiele zalogowanych sesji bez zmieniania każdej strony w okno do wszystkich pozostałych.

Agentic browser dodaje nowego aktora. Agent może oglądać stronę, streszczać ją, używać osadzonej treści, pamiętać poprzednie strony i działać z uprawnieniami użytkownika. Jeśli złośliwa strona wstrzyknie instrukcje w tekst, który agent czyta, nie potrzebuje klasycznej luki webowej. Może poprosić agenta, żeby sam przeszedł granicę.

Co znalazł UW

Praca UW jest użyteczna, bo mówi o architekturze. Zespół sprawdził Brave Leo AI, ChatGPT Atlas, Chrome with Gemini, Claude for Chrome, Microsoft Edge with Copilot, Firefox AI Mode i Perplexity Comet. Testy odbyły się na początku 2026 roku, więc produkty mogą się zmienić. Lekcja projektowa zostaje.

W mniej restrykcyjnych projektach złośliwa strona po udanym prompt injection może sprawić, że agent wymiesza informacje między origins. UW pokazał pełny atak na ChatGPT Atlas w Agent Mode: jedna strona uzyskała dane z innej osadzonej strony, mniej więcej jak reklama w poczcie czytająca treść maili. Dla Chrome with Gemini, Claude for Chrome i Perplexity Comet znaleziono warunki do podobnych ataków.

Badacze wskazali też cross-origin action forgery, odczyt zamaskowanych pól takich jak hasła oraz chat memory poisoning. To ostatnie jest ważne, bo agenci kompresują i ponownie wykorzystują to, co widzieli. Jeśli pamięć miesza dane z różnych origins, stara izolacja przeglądarki nie wystarcza.

Co dodaje BioShocking

LayerX atakuje inną warstwę. BioShocking nie celuje najpierw w same-origin policy, ale w model bezpieczeństwa agenta. Złośliwa strona tworzy świat gry, w którym złe odpowiedzi są zwycięskie. Gdy agent przyjmuje tę logikę, można go popchnąć do działań, które normalne guardrails powinny odrzucić.

LayerX twierdzi, że proof of concept zadziałał na kilku przeglądarkach i asystentach, w tym ChatGPT Atlas, Perplexity Comet, Fellou, Genspark Browser, Sigma Browser i wtyczce Claude do Chrome. Scenariusze obejmują ujawnianie informacji, zmianę haseł i wyciek credentials. Ars Technica i The Hacker News opisały temat, bo lekcja jest prosta: guardrails to nie access control.

Reguła odmowy w LLM jest warstwą polityki. Bezpieczeństwo przeglądarki potrzebuje twardych granic. Jeśli ten sam agent widzi złośliwą stronę, prywatną stronę i może działać w uwierzytelnionej sesji, dobry prompt może połączyć miejsca, które miały pozostać rozdzielone.

Co realnie może pójść źle

Najbardziej prawdopodobne ryzyka są nudne. Użytkownik prosi o streszczenie strony. Ukryty tekst każe agentowi dodać dane z innej karty, skopiować kod jednorazowy, otworzyć prywatny dokument albo wkleić podsumowanie do formularza napastnika. Pracownik używa agenta w CRM, gdy w tym samym profilu ma pocztę, GitHub, kalendarz i konsole admina. Złośliwy komentarz w issue prosi agenta o sekrety z innego miejsca i przedstawia je jako zwykły kontekst.

Część scenariuszy to proof of concept, nie masowe ataki. Warto to powiedzieć. Ale proof of concept wystarcza do planowania ryzyka, gdy aktywem jest już zalogowany profil przeglądarki. Rozszerzenie z nadmiarem uprawnień jest groźne. Agent jest groźniejszy, bo rozumie język, planuje i przenosi dane między krokami.

Zasady dla ludzi i firm

Jeśli testujesz przeglądarkę AI, użyj osobnego profilu. Bank, służbowe panele admina, prywatne repozytoria, cloud dashboards, poczta i password manager nie powinny siedzieć w tym samym profilu, w którym agent może działać.

Wyłącz automatyczne akcje, gdzie się da. Agent powinien pytać przed wysłaniem formularza, zakupem, kopiowaniem danych między stronami, otwarciem prywatnego dokumentu lub użyciem credentials. Jeśli produkt tego nie wymusza, trzymaj go z dala od wrażliwych sesji.

Firmy powinny traktować agentic browsers jak uprzywilejowaną automatyzację. Dozwolone produkty, osobne profile, oddzielne tożsamości, browser isolation, endpoint controls, allowlisty i audit logs nie są przesadą, jeśli agent widzi dane firmowe.

Szkolenia też muszą się zmienić. Ludzie znają podejrzane linki. Mniej osób rozumie podejrzane instrukcje ukryte w normalnej stronie. Spokojny komunikat brzmi: niezaufana treść webowa może stać się instrukcją dla agenta.

Co muszą poprawić dostawcy

Lepszy safety prompt nie wystarczy. Agentic browsers potrzebują pamięci świadomej origin, twardych granic uprawnień, potwierdzeń dla działań, niezawodnej separacji osadzonej treści, czytelnych logów i domyślnie małych uprawnień. W pracy UW projekty z mniejszymi prawami wyglądały bezpieczniej, choć były mniej efektowne.

Rozsądny werdykt: oddzielać, ograniczać, potwierdzać. Oddziel agent browsing od wrażliwych kont. Ogranicz, co agent czyta i robi. Potwierdzaj każdą akcję, która przenosi dane, wydaje pieniądze, używa credentials albo dotyka systemów pracy.

Przeglądarka była kiedyś oknem z mocnymi ścianami między stronami. Przeglądarka AI przypomina asystenta chodzącego po tych pokojach z notatnikiem. Dopóki ściany nie zostaną przebudowane pod agentów, nie dawaj mu wszystkich kluczy.