Perplexity представила систему BrowseSafe для защиты AI-браузеров от вредоносного контента. По заявлению компании, система определяет 91% атак с помощью prompt injection.
Этот показатель выше, чем у существующих решений: PromptGuard-2 — 35%, GPT-5 — 85%. По словам Perplexity, BrowseSafe работает быстро и подходит для реального времени.
В начале года Perplexity выпустила браузер Comet с интегрированными AI-агентами. Они видят сайты как обычные пользователи и могут использовать сервисы с доступом к email, банковским и корпоративным приложениям.
Это открывает новую зону для атак: злоумышленники могут прятать инструкции на страницах, чтобы AI выполнял вредоносные действия, например, отправлял личные данные на внешние адреса.
В августе 2025 года Brave нашла уязвимость в Comet. С помощью косвенного prompt injection команды прятали в комментариях или на странице, а AI принимал их за инструкции пользователя. По данным Brave, такой способ позволяет воровать приватные данные, включая email и одноразовые пароли.
Perplexity считает, что текущие тесты, например AgentDojo, не отражают реальных угроз. Они используют простые сценарии, а злодеи прячут атаки в сложном контенте.
Для этого BrowseSafe Bench оценивает систему по трём критериям:
- Тип атаки: от простых подмен до сложного социальной инженерии
- Стратегия внедрения: например, в HTML-комментариях или пользовательском контенте
- Стиль языка: от явных маркеров до замаскированных профессиональных формулировок
В тесте есть “опасные” неатакующие тексты, похожие на атаки. Без них модели часто ошибаются и отмечают безопасный код как вредоносный.
Архитектура BrowseSafe использует “mixture-of-experts” (Qwen3-30B-A3B-Instruct-2507). Проверка контента происходит параллельно действиям AI-агента, не замедляя работу пользователя.
В ходе тестирования выяснилось, что на многоязычных атаках точность падает до 76%, ведь большинство моделей реагируют только на английский. Внедрения через HTML-комментарии чаще обнаруживаются, чем атаки в видимых частях (например, в подвале сайта).
Небольшое число безопасных “отвлекающих” текстов уже снижает точность: трёх таких сообщений достаточно, чтобы показатель упал с 90 до 81%.
Система BrowseSafe использует трёхуровневую защиту. Весь контент сначала считается опасным. Быстрая модель-проверщик работает в реальном времени. Если она не уверена, анализ подключает продвинутую LLM. Сложные случаи сохраняют для повторного тренинга.
Perplexity открывает бенчмарк, модель и исследование для всех. OpenAI, Opera и Google тоже внедряют AI-агенты в браузеры и сталкиваются с такими же угрозами.
BrowseSafe пока пропускает около 10% атак, что не подходит для реальной защиты. В практике среда сайтов еще сложнее; некоторые атаки могут маскироваться, например, под стихи.
