Los navegadores web de las agencias que aprovechan las capacidades de la inteligencia artificial (IA) para ejecutar acciones de forma autónoma en varios sitios web en nombre de un usuario podrían ser entrenados y engañados para que sean víctimas de trampas de suplantación de identidad y estafa.

El ataque, en esencia, aprovecha la tendencia de los navegadores de IA a razonar sus acciones y utilizarla contra el propio modelo para reducir sus barreras de seguridad, Guardio dijo en un informe compartido con The Hacker News antes de su publicación.

«La IA ahora funciona en tiempo real, dentro de páginas desordenadas y dinámicas, mientras solicita información de forma continua, toma decisiones y narra sus acciones a lo largo del camino. Bueno, «narrar» es quedarse corto: es parlotear, ¡y demasiado! », dijo el investigador de seguridad Shaked Chen.

«Esto es lo que llamamos Parloreo agencial : el navegador AI expone lo que ve, lo que cree que está sucediendo, lo que planea hacer a continuación y las señales que considera sospechosas o seguras».

adsense

Al interceptar este tráfico entre el navegador y los servicios de IA que se ejecutan en los servidores del proveedor y enviarlo como entrada a una red generativa de adversarios ( GAN ), Guardio dijo que pudo hacer que el navegador Comet AI de Perplexity fuera víctima de una estafa de suplantación de identidad en menos de cuatro minutos.

La investigación se basa en técnicas anteriores como Estafa Vibe y Estaflexidad , que descubrió que las plataformas de codificación dinámica y los navegadores de IA podían ser persuadidos para que generaran páginas fraudulentas o llevaran a cabo acciones maliciosas mediante inyecciones de mensajes ocultos. En otras palabras, cuando el agente de inteligencia artificial se encarga de las tareas sin supervisión humana constante, se produce un cambio en la superficie de ataque, ya que una estafa ya no tiene por qué engañar al usuario. Más bien, su objetivo es engañar al propio modelo de IA.

«Si puedes observar lo que el agente señala como sospechoso, lo que duda y, lo que es más importante, lo que piensa y parlotea sobre la página, puedes usarlo como señal de entrenamiento», explicó Chen. «La estafa evoluciona hasta que el navegador de IA cae de forma fiable en la trampa que otra IA le ha tendido».

La idea, en pocas palabras, es crear una «máquina de estafa» que optimice y regenere de forma iterativa una página de suplantación de identidad hasta que el navegador de la agencia deje de quejarse y proceda a cumplir las órdenes del actor de la amenaza, como introducir las credenciales de la víctima en una página web falsa diseñada para llevar a cabo una estafa de reembolso.

Lo que hace que este ataque sea interesante y peligroso es que una vez que el estafador recorre una página web hasta que funciona contra un navegador de IA específico, funciona con todos los usuarios que confían en el mismo agente. Dicho de otro modo, el objetivo ha pasado del usuario humano al navegador basado en la IA.

«Esto revela el desafortunado futuro cercano al que nos enfrentamos: las estafas no solo se lanzarán y se ajustarán de forma espontánea, sino que se entrenarán fuera de línea, siguiendo el modelo exacto en el que confían millones de personas, hasta que funcionen a la perfección desde el primer contacto», dijo Guardio. «Porque cuando tu navegador basado en IA explica por qué se detuvo, enseña a los atacantes cómo evitarlo».

La revelación se presenta como Trail of Bits demostrada cuatro técnicas de inyección rápida contra el navegador Comet para extraer la información privada de los usuarios de servicios como Gmail explotando el asistente de IA del navegador y filtrando los datos al servidor de un atacante cuando el usuario pide resumir una página web bajo su control.

enlaces

La semana pasada, Zenity Labs también detalló dos ataques sin clic que afectaron a Comet de Perplexity y que utilizan inyección inmediata indirecta incluido en las invitaciones a reuniones para filtrar los archivos locales a un servidor externo (también conocido como Cometa perplejo ) o secuestrar la cuenta de 1Password de un usuario si el extensión de administrador de contraseñas está instalado y desbloqueado. Desde entonces, la empresa de inteligencia artificial ha abordado los problemas, cuyo nombre en código colectivo es PerplexedBrowser.

Esto se logra mediante una técnica de inyección rápida denominada colisión de intenciones, que se produce «cuando el agente combina una solicitud benigna de un usuario con instrucciones controladas por el atacante a partir de datos web no confiables en un solo plan de ejecución, sin una forma confiable de distinguir entre ambos», dijo el investigador de seguridad Stav Cohen.

Los ataques de inyección inmediata siguen siendo un desafío de seguridad fundamental para los modelos lingüísticos de gran tamaño (LLM) y para integrarlos en los flujos de trabajo de las organizaciones, en gran parte porque eliminar por completo estas vulnerabilidades puede no ser factible. En diciembre de 2025, OpenAI apuntado que es «poco probable» que estas debilidades se resuelvan por completo en los navegadores de las agencias, aunque los riesgos asociados podrían reducirse mediante el descubrimiento automático de ataques, la capacitación de los adversarios y las nuevas medidas de protección a nivel del sistema.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.