Votre navigateur IA ne doit pas ignorer cette phrase cachée.

OpenAI reconnaît que son navigateur Atlas gardera un talon d’Achille permanent : les injections de prompt. Le Centre national de cybersécurité du Royaume-Uni a prévenu que ces attaques ne seront « jamais totalement atténuées ».

Pour discuter des vulnérabilités, il est essentiel de comprendre ce que nous confions à ces IA. On ne parle pas simplement d’un petit panneau latéral ChatGPT capable de résumer un PDF ; cela, c’est inoffensif.

Un « agent IA » (comme Atlas en mode agent) représente une IA à laquelle on confie les clés de la maison. Concrètement, ce navigateur ne se limite pas à afficher une page web, il la « lit », la comprend et peut interagir avec elle. Il peut cliquer sur des boutons, remplir des formulaires, se connecter en votre nom et effectuer des paiements.

OpenAI travaille intensément pour renforcer la sécurité de son navigateur IA, Atlas, face aux cybermenaces. L’entreprise évoque également un phénomène préoccupant sur son blog : les injections de prompt. De quoi s’agit-il ? C’est une méthode qui utilise des instructions cachées pour manipuler l’IA. Et ce risque ne disparaîtra jamais complètement.

OpenAI compare ce problème à des arnaques et à l’ingénierie sociale sur Internet, indiquant qu’il ne sera jamais possible de « résoudre » ce problème, seulement de le contenir.

La société américaine admet que le « mode agent » de ChatGPT Atlas augmente considérablement la « surface de menace ». Pour résumer : plus votre IA est capable d’opérer à votre place, plus elle est exposée.

Un jeu du chat et de la souris, avec un chat en IA

OpenAI a lancé son navigateur ChatGPT Atlas en octobre. Quelques heures après, des chercheurs en sécurité avaient déjà détourné le comportement de ce navigateur simplement en rédigeant quelques mots dans un Google Doc. Cela est d’une facilité troublante. OpenAI n’est pas la seule à rencontrer ce problème, Brave et Perplexity Comet sont également confrontés à des défis similaires.

Le défi est systémique. Le Centre national de cybersécurité du Royaume-Uni a d’ailleurs mis en garde : ces attaques « ne seront jamais totalement atténuées ». Il faut s’habituer à vivre avec ce risque au lieu d’espérer l’éliminer.

Pour tenter de colmater les failles avant qu’elles ne soient exploitées, OpenAI a mis au point un « attaquant automatisé basé sur un LLM ». Il s’agit d’un bot formé par renforcement pour simuler un hacker. Ce bot passe son temps en simulation à essayer de piéger l’agent IA, à analyser ses réactions et à améliorer ses attaques.

L’idée est intéressante en théorie : utiliser l’IA pour attaquer l’IA, plus rapidement qu’un humain ne pourrait le faire. OpenAI assure que ce système a déjà permis de découvrir des stratégies d’attaque inédites, que même leurs équipes de « red teaming » (les hackers éthiques) n’avaient pas détectées.

Pour aller plus loin
Le navigateur optimisé par l’IA Opera Neon est disponible en version test, sous certaines conditions.

Un problème qui reste sans solution

Le cœur du problème ne réside pas dans la rapidité de détection des failles. C’est la nature même de l’outil. En effet, le risque associé à un système IA est le résultat de son autonomie multipliée par son accès.

Les navigateurs agents tels qu’Atlas se situent dans une zone critique : ils présentent une autonomie modérée tout en ayant un accès très élevé à vos données (e-mails, paiements, formulaires). Dans une démonstration, OpenAI a montré comment son attaquant automatisé a réussi à insérer un e-mail malveillant dans la boîte de réception d’un utilisateur.

L’agent a interprété les instructions cachées et a envoyé une lettre de démission au lieu d’une réponse automatique d’absence. Cela aurait un effet cocasse dans un contexte de démonstration, mais serait catastrophique dans la réalité.

Les problèmes du mode agent

OpenAI affirme que son « mode agent » est désormais plus efficace pour détecter ces attaques après mise à jour. Ils recommandent de restreindre les accès, de demander des confirmations manuelles pour les actions sensibles (paiements, envois de messages) et d’éviter les instructions vagues comme « fais ce qu’il faut ».

Cependant, l’utilisation d’un navigateur IA vous expose à des risques. Bien que la technologie soit impressionnante, elle repose sur une architecture pouvant être manipulée. Tant que l’IA traitera les instructions (le code) et les données (le contenu d’une page web) dans le même flux, le danger d’injection persistera. Restez donc prudent.

Pour aller plus loin
« Firefox va devenir un navigateur IA » : les utilisateurs expriment leur déception et recherchent des alternatives, dont une semble toute trouvée.