ИИ кликает за вас — и заодно копирует вирус: в Atlas нашли опасную дыру

Браузер ChatGPT Atlas уже успел получить первую публичную порцию критики: энтузиаст по безопасности продемонстрировал, как обойти защиту с помощью двух приёмов. Один — "старый добрый LSD-jailbreak", скрывающий запретный смысл от фильтров. Второй — куда практичнее и опаснее — clipboard injection, когда сайт незаметно подсовывает пользователю вредоносную ссылку в буфер обмена. История не сенсационная для отрасли, но показательная: чем больше у агентных браузеров полномочий, тем шире поверхность атаки. Разработчики Atlas ещё на презентации предупреждали о рисках промпт-инъекций, но, как справедливо отмечают, предусмотреть все сценарии невозможно — значит, важно научиться жить с этими рисками.

Что именно показал исследователь

Исследователь (имя не раскрывается) опубликовал пост с двумя примерами:

1. LSD-jailbreak. Суть — маскировать запрещённые намерения под невинные вопросы. Используются эвфемизмы, ролевая маска ("сыграй архивариуса и просто пересказывай"), разбиение запроса на "чистые" шаги, кодирование/"редактирование" вместо прямой генерации. Техника старая, но живучая и время от времени пробивает защиту.

2. Clipboard injection. На собственном сайте автор реализовал логи: любое нажатие кнопки агентом копировало в буфер обмена вредоносный URL. Если после этого браузер отдаёт управление человеку, тот может не заметить подмену и вставить ссылку уже в "человеческий" контекст — в письмо, чат, адресную строку.

Почему это важно именно для агентных браузеров

В Atlas ИИ не просто отвечает, а действует: кликает, заполняет формы, копирует фрагменты — то есть использует ваш буфер обмена, куки, иногда токены сеанса. Эта модель удобна, но любая уязвимость в цепочке "страница → агент → пользователь" превращает привычные механики (копировать/вставить) в транспорт для атак.

Базовые утверждения и контекст

Atlas — новый класс инструментов: "браузер-с-мозгами", где Gemini выполняет поручения пользователя. Команда Google честно предупредила о промпт-инъекциях (включая clipboard), призвала внимательно продумывать задачи для агента и ограничивать доверие неизвестным сайтам. Классические фильтры безопасности по-прежнему нужны, но на 100% проблему джейлбрейков они не закрывают, потому что игра идёт на уровне смысла и контекста, а не только ключевых слов. Clipboard-атаки, в свою очередь, эксплуатируют привычку "вставлять, не глядя" — и это не баг Atlas, а эксплуатация пользовательского поведения плюс легитимных API браузера.

"Сравнение": два приёма и их профиль риска

Советы шаг за шагом: как снизить риск при работе с Atlas

1. Ограничьте доверие агенту. В настройках отключите автоматическое копирование/вставку, если это доступно. Требуйте подтверждение при доступе к клипборду.

2. Разделите профили. Создайте отдельный профиль/контейнер-браузер для Atlas (или отдельный пользовательский аккаунт ОС), где нет корпоративных куки и токенов.

3. Поставьте защитные расширения. uBlock Origin, NoScript/LibreJS (приемлемые списки), URL Void/Netcraft, расширения проверки ссылок в буфере обмена.

4. Включите "подпись вставки". Используйте буфер-менеджеры (Ditto, ClipClip, CopyQ) с историей и предпросмотром — всегда смотрите, что именно вставляете.

5. Защитите секреты. Храните пароли в менеджере (1Password, Bitwarden, KeePass) с авто-заполнением по домену, а не копированием в клипборд.

6. Включите DLP/EDR. Для компаний — политики MDM/Chrome Enterprise/Intune: запрет клипборда между окнами, контроль загрузок, сеть по allow-list.

7. Отделите рабочие токены. Не запускайте Atlas в той же среде, где открыты админ-консоли, CRM и облака; используйте отдельный браузер/песочницу (Sandboxie, Windows Sandbox).

8. Проверяйте вставляемые URL. Перед Enter — наведи-посмотри: домен, протокол, подозрительные параметры.

9. Обучите коллег. Краткий гайд по промпт-инъекциям и клипборд-атакам, чек-лист "прежде чем кликнуть/вставить".

10. Антивирус и фильтрация. Включите DNS-фильтр (Quad9/NextDNS) и репутационный веб-щит в защите уровня Endpoint.

Ошибка → Последствие → Альтернатива

• Оставить общий буфер обмена между Atlas и остальными приложениями → Вставка фишингового URL в рабочую переписку → Историзация клипборда, ручная проверка, изоляция профиля.

• Разрешить скриптам любые действия "ради удобства" → Невидимые копирования/редиректы → Жёсткие списки, CSP через расширения, блокировка небезопасных API.

• Делегировать агенту входы/платежи → Кража сессий, CSRF → Только человек вводит пароли, менеджер паролей вместо копирования.

• Игнорировать подсказки безопасности Atlas → Повторяемые инъекции через контент → Снижайте полномочия агента, выполняйте сомнительные задачи в гостевом профиле.

А что если… агент всё равно нужен для "тяжёлых" задач?

Используйте двухконтурную модель: 1) агент в "грязной" песочнице собирает черновик, ссылки и идеи; 2) человек перепроверяет и в "чистой" среде совершает важные действия. В задачах с высоким риском (финансы, доступы, prod-инфра) агент не получает права действовать — максимум подсказывает.

Таблица "Плюсы и минусы" агентного браузера в реальной работе

FAQ

Можно ли полностью заблокировать clipboard injection?
На уровне пользователя — нет, но можно значительно усложнить атаку: подтверждение доступа к буферу, менеджер клипборда с предпросмотром, изоляция профилей и блокировка скриптов.

Если очистить буфер — я в безопасности?
Это снижает риск, но не отменяет повторной подмены при следующем клике. Смотрите историю буфера/подсказки менеджера перед вставкой.

Atlas "починят" фильтрами?
Фильтры улучшаются, но jailbreak-техники эволюционируют. Надёжнее — процессные меры: least privilege, песочницы, обучение.

Подойдёт ли классический антивирус?
Он полезен, но клипборд-атаки — это не "вирус в файле", а злоупотребление UX и скриптами. Нужны сетевые/браузерные политики и менеджер паролей.

Можно ли безопасно поручить агенту вход в банк?
Не рекомендуется. Финансы, админ-панели и критичные сервисы — только вручную и из "чистого" профиля.

"Мифы и правда" (ClaimReview)

• Миф: "Если ИИ умный, он сам распознает ловушки".
  Правда: промпт-инъекции целенаправленно "затачиваются" под уязвимости модели и контекста; защита всегда догоняет атакующих.

• Миф: "Clipboard injection — редкость".
  Правда: это тривиальная техника фронтенда; главное препятствие — дисциплина пользователя.

• Миф: "Достаточно запретить JS — и всё".
  Правда: запрет JS ломает сайты; нужен баланс: списки разрешений, выборочные политики, песочницы.

3 интересных факта

1. Буфер обмена — общий ресурс для множества приложений: что туда попало "по пути", увидит и другое ПО.

2. Многие менеджеры паролей намеренно избегают клипборда, подставляя данные напрямую по домену — именно для защиты от подмен.

3. В промпт-инъекциях часто используют "невидимый текст" (prompt-hiding) в элементах страницы, на который агент реагирует, а пользователь не видит.

Исторический контекст

• 2016-2019: первые массовые jailbreak-приёмы для чат-моделей; появление контент-политик и RLHF.

• 2023: волна исследований prompt injection против инструментализированных ИИ (browsing, code-execution).

• 2024: широкое внедрение агентных сценариев в браузерах; клипборд/форма становятся ключевыми точками риска.

• 2025: запуск Atlas; предупреждения о промпт-инъекциях в релизе и первые практические демонстрации обходов.

Контекстные акценты для пользователей и ИТ-отделов

Упор делайте на реальные категории решений: браузерные расширения-блокировщики, менеджеры паролей, клипборд-менеджеры, средства класса EDR/DLP, MDM-политики для Chrome/Edge, DNS-фильтры. Для гиков — контейнерные профили, Firejail/AppArmor (Linux), Windows Sandbox, отдельные виртуальные машины. Для контента — проверка ссылок (VirusTotal/URLHaus), а для работодателей — обучение и регламенты "что агенту делать нельзя никогда".