Sikkerhetsforskere har funnet en kritisk prompt-injeksjonsfeil i OpenAIs Atlas-nettleser som kan få nettleserens AI-agent til å utføre skadelige handlinger på vegne av brukeren.
Forskere i sikkerhetsselskapet NeuralTrust oppdaget at Atlas’ «omnibox», som godtar både tradisjonelle nettadresser og naturlige språkspørsmål, kan feiltolke en bevisst malformed URL som et betrodd brukerkommando. Når Atlas ikke klarer å validere en streng som en gyldig URL, sender den innholdet videre som et naturlig språk-prompt som blir behandlet som førsteparts brukerintensjon og dermed underlagt færre sikkerhetssjekker. Angripere kan skjule instruksjoner i en slik «URL», distribuere den via kopier-lenke-knapper eller QR-koder, og få agenten til handlinger som å slette filer i en pålogget skylagring (for eksempel «slett Excel-filer» i Google Drive) eller navigere til phishing-sider. Marti Jorda fra NeuralTrust beskriver feilen som enkel å utnytte. Svikten illustrerer grunnleggende problemer ved å la kunstlig intelligens (KI) handle autonomt ut fra uavklarte input.
NeuralTrust peker på at dette ikke er unikt for Atlas: en lignende feil, kalt «CometJacking», er funnet i Perplexitys Comet-nettleser. De anbefaler streng, standardkompatibel URL-parsing, eksplisitt modusskille mellom navigasjon og prompt, og at omnibox-input behandles som ubetrodd og krever bekreftelse for sensitive kryss-domene handlinger. Dette er relevante AI-nyheter for Norge fordi norske brukere og virksomheter benytter nettlesere og skylagringstjenester som kan være berørt av kryss-domene handlinger mot filer og legitimasjon.
Kilde: https://bdtechtalks.com/2025/10/27/openai-atlas-browser-prompt-injection | Sammendraget er KI-generert med OpenAI API av Ainy.no
