Les navigateurs IA sont arrivés avec la promesse de tout changer. Non seulement ils ne l’ont pas fait : ils représentent un danger

Les navigateurs IA sont arrivés avec la promesse de tout changer. Non seulement ils ne l’ont pas fait : ils représentent un danger

Les navigateurs à intelligence artificielle ne promettaient pas un onglet plus intelligent ou un moteur de recherche avec de meilleures réponses. Ils sont arrivés avec une ambition bien plus grande : OpenAI parle de se rapprocher d’un « véritable super assistant », Perplexity résume Comet comme « le navigateur qui travaille pour vous » et Google présente Gemini dans Chrome sous l’idée d’une nouvelle ère de navigation. La promesse est claire : nous cesserons de nous déplacer seuls sur le Web et commencerons à déléguer une partie du chemin. Le problème est que cette même promesse commence à montrer un côté plus délicat.

L’avertissement. L’Université de Washington se concentre désormais sur ce risque émergent. Dans une recherche présentée lors de l’atelier Agents in the Wild et publiée par l’université elle-même le 30 juin, une équipe a analysé sept navigateurs agents populaires pour voir comment ils se rapportent à une protection de base du Web moderne : la même politique d’origine. Leur conclusion était claire : quatre d’entre eux ouvraient des voies de risque pertinentes et les chercheurs sont allés jusqu’à exécuter une preuve de concept complète dans ChatGPT Atlas en mode Agent.

Le saut du bas. Un navigateur traditionnel nous montre des pages et attend nos décisions. Nous pouvons ouvrir un service, copier des données, les coller ailleurs, comparer des options ou remplir un formulaire, mais chaque étape dépend de nous. Les navigateurs agents modifient cette logique car ils intègrent des systèmes capables d’interpréter ce qui apparaît à l’écran et d’avancer au sein même du navigateur. Nous ne parlons plus seulement de résumer une page, mais plutôt de coordonner des tâches entre les onglets, d’opérer sur des pages ouvertes et de réaliser des actions qui étaient auparavant laissées entre les mains de l’utilisateur.

Un nouveau front. Le risque ne survient pas simplement parce qu’une page est malveillante, mais parce que l’agent peut interpréter cette page dans le cadre de ses instructions. C’est là qu’intervient l’injection rapide, une technique dans laquelle un contenu externe tente de modifier le comportement du modèle avec des ordres cachés, camouflés ou simplement insérés là où l’utilisateur ne s’attend pas à les trouver. Dans un chatbot, c’est déjà un problème. Dans un navigateur agent, la portée change, car le système peut traiter les informations d’une page et les convertir en actions au sein du navigateur.

La barrière qui était là. La même politique d’origine est l’une de ces protections que nous voyons rarement, mais qui sous-tend une grande partie du Web moderne. Sa fonction, en termes simples, est d’empêcher une page de lire ou de manipuler librement les informations d’une autre simplement parce que les deux sont ouvertes dans le navigateur. Grâce à cette séparation, aucun site Web ne devrait pouvoir accéder simplement à ce que nous avons dans une banque, une messagerie ou un service privé. Le problème se pose lorsqu’un agent regroupe des informations qui étaient auparavant beaucoup plus séparées.

Imaginons que nous visitions une page apparemment normale et demandions à l’agent de la résumer ou de nous aider à accomplir une tâche qu’elle contient. Sous certaines conditions, cette page peut inclure du contenu provenant d’une autre source, comme une iframe, ainsi qu’une instruction malveillante destinée au modèle et non à nous. Si l’agent dispose des autorisations suffisantes, il pourrait accéder à du contenu que le site Web attaquant ne devrait pas pouvoir lire directement et déplacer certaines de ces informations vers un formulaire contrôlé par l’attaquant. Le Web n’aurait pas directement brisé la barrière ; il aurait utilisé l’agent comme pont.

La nuance importante. Il convient de noter que l’étude ne dit pas que tous les utilisateurs subiront une attaque ou que tout navigateur doté d’IA n’est pas sécurisé par définition. Les chercheurs ont analysé des versions spécifiques, à un moment précis, et ont travaillé avec des preuves de concept, et non avec des attaques contre des services réels ou avec des données utilisateur sensibles. Ils ont également observé des différences significatives entre les produits : les navigateurs qui accordaient moins d’autorisations à l’agent avaient tendance à réduire les risques.

Le paradoxe. Ces navigateurs sont attrayants car ils promettent d’enregistrer des étapes, de comprendre les pages, de relier les informations et d’exécuter des tâches avec moins d’intervention de notre part. Mais c’est cette même capacité qui fait que l’échec pèse davantage : il ne se produit pas seulement dans un onglet isolé, mais dans un environnement où il peut y avoir des sessions ouvertes, des données personnelles et des actions en attente. Ils ne sont peut-être pas encore une habitude massive, mais le débat sur la sécurité est déjà là, précisément parce que leur proposition consiste à leur donner plus de marge.

Images | Simseo avec Nano Banane

À Simseo | Sélectionner tous les feux tricolores ne suffit plus à prouver que vous n’êtes pas un robot. Maintenant, vous devez scanner les codes QR