عامل‌های مرورگری AI قبل از گرفتن کلید وب، کمربند ایمنی می‌خواهند

خلاصه

موج بعدی AI فقط در پنجره چت نمی‌ماند. وارد مرورگر می‌شود، صفحه‌ها را می‌خواند، گزینه‌ها را مقایسه می‌کند، فرم پر می‌کند، ایمیل خلاصه می‌کند و بین ابزارهایی حرکت می‌کند که از قبل داده شخصی یا سازمانی دارند. این قابلیت جذاب است، اما ریسک را هم عوض می‌کند.

Prompt injection قبلاً شبیه یک ترفند عجیب مدل‌ها بود: دستور مخفی را داخل صفحه، ایمیل یا سند بگذار و امیدوار باش AI از آن پیروی کند. اما وقتی AI به مرورگر و حساب لاگین‌شده وصل باشد، همین ضعف می‌تواند عملیاتی شود. صفحه مخرب شاید عامل را وادار کند داده لو بدهد، روی دکمه خطرناک کلیک کند، سیاست امنیتی را نادیده بگیرد یا کاری انجام دهد که کاربر واقعاً نخواسته است.

راه‌حل، توقف ساخت عامل‌ها نیست. راه‌حل این است که قبل از دادن کلید وب، برایشان کمربند ایمنی بسازیم. محصول امن باید عامل را مثل اپراتور نماینده ببیند: با مجوز محدود، اقدام قابل مشاهده، لاگ قابل بررسی و مرز روشن میان خواندن، پیشنهاد دادن و انجام دادن.

مقاله

هر تغییر بزرگ در رابط کاربری، یک مرز امنیتی تازه می‌سازد. مرورگر وب مرزی میان سایت‌ها و دستگاه کاربر ساخت. موبایل مرزی میان مجوزها و حسگرها ایجاد کرد. نرم‌افزار ابری مرزی میان هویت، نقش و API ساخت. عامل‌های AI حالا مرزی میان نیت انسان و اقدام خودکار می‌سازند؛ مرزی که هنوز بالغ نشده است.

مشکل از آنجا خطرناک می‌شود که عامل‌ها معمولاً مودب و منطقی به نظر می‌رسند. برنامه خود را توضیح می‌دهند، جمله‌های کامل می‌نویسند و گاهی تأیید می‌خواهند. اما زیر این ظاهر، عامل مرورگری ممکن است صفحه‌های غیرقابل اعتماد را بخواند، محتوای پنهان را تفسیر کند، زمینه وظیفه‌های قبلی را نگه دارد و داخل session کاربری حرکت کند که از قبل لاگین شده است. دستور مخرب در چنین محیطی می‌تواند وارد مسیر تصمیم‌گیری عامل شود.

به همین دلیل prompt injection در عامل‌ها مهم‌تر از چت‌بات معمولی است. اگر چت‌بات یک صفحه مخرب را بد خلاصه کند، شاید فقط کاربر گیج شود. اما اگر عامل دارای دسترسی مرورگر از دستور مخرب پیروی کند، خطر به اقدام تبدیل می‌شود: ارسال پیام، تغییر تنظیمات، دانلود فایل، افشای context خصوصی یا تأیید یک فرآیند حساس. مدل دیگر فقط متن تولید نمی‌کند؛ به سیستم‌ها دست می‌زند.

الگوی امن، جداسازی است. خواندن باید آسان و گسترده باشد؛ اقدام باید محدود و صریح باشد. عامل خوب می‌تواند صفحه را بررسی کند، ریسک را خلاصه کند و قدم بعدی را پیشنهاد دهد. اما نباید بی‌صدا وارد تغییر حساب، خرید، آپلود فایل، تغییر مجوز یا ارسال پیام بیرونی شود. این کارها به سطح اعتماد بالاتر، تأیید واضح و لاگی نیاز دارند که بعداً قابل بررسی باشد.

سازمان‌ها نباید عامل مرورگری را مثل کارآموز جادویی ببینند. عامل باید scope هویتی داشته باشد. عامل پشتیبانی نباید کل session مرورگر را به ارث ببرد. عامل مالی نباید به ایمیل شخصی دسترسی داشته باشد. عامل تحقیق نباید بعد از پایان کار، محتوای محرمانه را نگه دارد. دسترسی ابزار باید بر اساس وظیفه داده شود، نه بر اساس هیجان.

تجربه کاربری هم مهم است. اگر برای هر اقدام هشدار ترسناک نشان دهیم، کاربر به هشدارها عادت می‌کند و آن‌ها را نادیده می‌گیرد. اگر هیچ اصطکاکی نباشد، محصول بی‌پروا می‌شود. الگوی درست، اصطکاک زمینه‌مند است: خواندن کم‌ریسک روان باشد، تغییرات متوسط نیاز به مرور داشته باشد و اقدام‌های پرریسک صفحه تأیید انسانی نشان دهند که دقیقاً چه کاری، کجا و با چه هویتی انجام می‌شود.

تیم امنیت به لاگی نیاز دارد که مسیر عامل را توضیح دهد: چه صفحه‌هایی خوانده شده، چه ابزارهایی صدا زده شده، چه promptهایی دریافت شده، چه مدل و چه مجوزی استفاده شده و اقدام نهایی چه بوده است. بدون این مسیر، پاسخ به حادثه حدس و گمان می‌شود. با این مسیر، تیم می‌تواند خطا را بازسازی کند، سیاست را تنظیم کند و ثابت کند اقدام حساس مجاز بوده یا نه.

برنده عصر عامل‌ها شرکت‌هایی نیستند که عاملشان سریع‌تر کلیک می‌کند. برنده‌ها شرکت‌هایی‌اند که اقدام نمایندگی‌شده را قابل اعتماد می‌کنند. عامل مرورگری باید مفید باشد، اما باید مثل اپراتوری دقیق در اتاق کنترل روشن رفتار کند؛ نه مثل غریبه‌ای که همه کلیدهای ساختمان دست اوست.