V ére generatívnej umelej inteligencie prichádza šokujúca hrozba s názvom „Man-in-the-Prompt“, ktorá odhaľuje, že aj úplne bežné rozšírenia prehliadača môžu manipulovať s vašimi výzvami v ChatGPT, Claude, Gemini, Copilot či DeepSeek – bez vášho vedomia.
A čo je ešte horšie? Tieto útoky môžu nenápadne ukradnúť vaše zadania, odpovede, a dokonca aj citlivé firemné dáta.
Ako to funguje: zbraň menom DOM
Podľa výskumu spoločnosti LayerX Security sa zistilo, že rozšírenia prehliadača – dokonca aj tie, ktoré nemajú žiadne špeciálne oprávnenia – môžu potichu upravovať obsah generatívnych AI rozhraní cez DOM (Document Object Model). Výsledok?
- Útočník môže vložiť skrytú výzvu do vášho chatu v ChatGPT.
- Model túto výzvu spracuje bez vášho vedomia.
- Výsledky sa odosielajú na vzdialený server (C2).
- Chat sa potichu vymaže, aby sa zahladili stopy.
Dokonca bola demonštrovaná manipulácia s bočným panelom Google Gemini v Google Workspace, kde útočník získal súkromné e-maily, zoznamy kontaktov a kalendárové záznamy.
| LLM | Zraniteľnosť voči Man-in-the-Prompt | Zraniteľnosť voči injektáži prostredníctvom bota | Množstvo návštev mesačne |
| ChatGPT | ÁNO | ÁNO | 5 miliárd |
| Gemini | ÁNO | ÁNO | 400 miliónov |
| Copilot | ÁNO | ÁNO | 160 miliónov |
| Claude | ÁNO | ÁNO | 115 miliónov |
| DeepSeek | ÁNO | ÁNO | 275 miliónov |
| Externé LLM | ÁNO | ❌ |
Firmy v nebezpečenstve: každé druhé rozšírenie môže byť zradné
Štatistiky sú alarmujúce. 99 % podnikových používateľov má nainštalované aspoň jedno rozšírenie a viac než polovica má viac než desať.
To je ideálne prostredie pre „tiché“ útoky. Navyše, ak firmy používajú vlastné AI nástroje na spracovanie interných dát, riziko krádeže dôverných informácií (HR záznamy, IP, obchodné stratégie) dramaticky rastie.
Tradičná ochrana nestačí. Čo treba spraviť?
Firewall, DLP či CASB nemajú žiadny prehľad o tom, čo sa deje v DOM-e. Preto LayerX odporúča:
- Zredukovať alebo zakázať zbytočné rozšírenia.
- Aplikovať princíp najnižších oprávnení.
- Používať DLP riešenia s podporou GenAI.
- Oddeliť systémové výzvy od tých používateľských a externých.
- Považovať výzvy v AI nástrojoch za citlivé údaje – ako heslá.
Paradigmatický zlom v bezpečnosti umelej inteligencie
Na rozdiel od tradičných zraniteľností, ktoré útočia na kód alebo sieť, „Man-in-the-Prompt“ sa sústredí na manipuláciu vstupu. A preto je tak ťažko odhaliteľný.
Organizácia OWASP preto zaradila prompt injection medzi najväčšie bezpečnostné riziká AI pre rok 2025.
Rozšírenia prehliadača – kedysi len pohodlný doplnok – sa stávajú vážnym rizikom pre používateľov umelej inteligencie. Ak používate ChatGPT, Gemini alebo akýkoľvek AI nástroj vo svojom prehliadači, váš vstup nemusí byť len váš.
