Недавно команда Brave разобрала расширение Comet от Perplexity и обнаружила критическую уязвимость: LLM, под капотом Comet, не различает команды пользователя и контент страницы, что позволяет злоумышленникам внедрять свои инструкции прямо через веб-контент. Например, вредоносный пост на Reddit может заставить Comet получить доступ к вашей почте или инициировать восстановление аккаунта. Попытки исправить проблему оказались неудачными — уязвимость осталась. Главная инженерная сложность: для LLM всё, что поступает на вход, выглядит как единый поток токенов. Надёжно отделить “доверенное” от “недоверенного” не удаётся, несмотря на многочисленные попытки. Brave предлагает явно разделять инструкции пользователя и контент страницы, всегда считая последний недоверенным. Но на практике это пока не реализовано эффективно. Вывод: сама концепция агентных расширений для браузера в текущем виде может быть небезопасной по определению. Даже перспективные научные подходы (например, CaMeL) не решают проблему полностью. Ключевые takeaway: — Архитектурное разделение trusted/untrusted input для LLM — must have. — Текущие методы защиты от prompt injection не работают. — Безопасная интеграция LLM в браузеры требует новых подходов к обработке контекста и команд. — Сообщество наконец признаёт серьёзность проблемы, но надёжного решения пока нет. https://simonwillison.net/2025/Aug/25/agentic-browser-security/#atom-everything