Недавно команда Brave разобрала расширение Comet от Perplexity и обнаружила критическую уязвимость: LLM, под капотом Comet, не различает команды пользователя и контент страницы, что позволяет злоумышленникам внедрять свои инструкции прямо через веб-контент. Например, вредоносный пост на Reddit может заставить Comet получить доступ к вашей почте или инициировать восстановление аккаунта.

Попытки исправить проблему оказались неудачными — уязвимость осталась. Главная инженерная сложность: для LLM всё, что поступает на вход, выглядит как единый поток токенов. Надёжно отделить “доверенное” от “недоверенного” не удаётся, несмотря на многочисленные попытки.

Brave предлагает явно разделять инструкции пользователя и контент страницы, всегда считая последний недоверенным. Но на практике это пока не реализовано эффективно.

Вывод: сама концепция агентных расширений для браузера в текущем виде может быть небезопасной по определению. Даже перспективные научные подходы (например, CaMeL) не решают проблему полностью.

Ключевые takeaway:
— Архитектурное разделение trusted/untrusted input для LLM — must have.
— Текущие методы защиты от prompt injection не работают.
— Безопасная интеграция LLM в браузеры требует новых подходов к обработке контекста и команд.
— Сообщество наконец признаёт серьёзность проблемы, но надёжного решения пока нет.

https://simonwillison.net/2025/Aug/25/agentic-browser-security/#atom-everything