OpenAI a publié son navigateur ChatGPT Atlas, une nouvelle application qui intègre une interface de chatbot dans un navigateur Web basé sur Chromium. Le lancement a suscité une nouvelle série de préoccupations de la part des experts en sécurité concernant la confidentialité et la protection des données en ligne. La conception du navigateur vise à redéfinir la navigation sur Internet grâce à l’IA conversationnelle, mais ses pratiques de collecte de données et son architecture de sécurité sont sous surveillance.

Une fonctionnalité centrale du navigateur est « Mémoires », qu’OpenAI décrit comme une version améliorée d’un historique Web standard. Cette fonctionnalité est activée par défaut et est conçue pour collecter des données afin d’améliorer les performances de l’IA. « Mémoires » enregistre des informations contextuelles sur les sites Web que les utilisateurs visitent, les documents qu’ils consultent, ainsi que leurs interactions et préférences. L’objectif déclaré est de permettre aux utilisateurs de trouver des informations en utilisant un langage conversationnel plutôt que d’avoir à rappeler des URL ou des mots-clés exacts. Les contrôles de confidentialité et de données du navigateur indiquent qu’OpenAI enregistre des informations détaillées sur les habitudes des utilisateurs directement lors de l’installation.

OpenAI précise que le navigateur est conçu pour exclure certaines données sensibles de sa mémoire. La société précise qu’elle ne sauvegardera pas les informations personnelles identifiables, notamment les pièces d’identité gouvernementales, les numéros de sécurité sociale et les détails du compte bancaire. Les autres types de données exclus sont les informations d’identification en ligne, les informations de récupération de compte, les adresses, les dossiers médicaux et les détails financiers. Le navigateur dispose également de filtres pour éviter d’enregistrer des résumés de ce qu’il appelle « certains sites Web sensibles (comme les sites pour adultes) ». Pour un contrôle supplémentaire, les utilisateurs peuvent empêcher manuellement l’enregistrement de pages spécifiques en utilisant un bouton « visibilité de la page » situé dans la barre d’adresse.

You Might Also Like
Le remplissage génératif alimenté par Firefly obtient une amélioration des détails et une sortie 2K
Le remplissage génératif alimenté par Firefly obtient une amélioration des détails et une sortie 2K
Instagram et Facebook pour montrer aux parents ce que les adolescents demandent à l’IA
Instagram et Facebook pour montrer aux parents ce que les adolescents demandent à l’IA
Les responsables exhortent l’Europe à construire un rival au mythe d’Anthropic
Les responsables exhortent l’Europe à construire un rival au mythe d’Anthropic

ChatGPT Atlas comprend un agent IA qui peut naviguer sur le Web et effectuer des tâches au nom de l’utilisateur. Cette fonctionnalité a été un point d’échec dans d’autres navigateurs basés sur l’IA. Plus tôt cette année, le navigateur Comet de Perplexity a été compromis par de simples attaques par injection rapide. Les chercheurs en sécurité ont démontré que le texte caché sur un site Web pouvait détourner l’agent, lui permettant de révéler les identifiants de connexion d’un utilisateur et de partager un code d’authentification.

Le chercheur en sécurité Simon Willison a sonné l’alarme quant au potentiel d’attaques similaires contre Atlas. Dans un article de blog, Willison a écrit : “J’aimerais voir une explication détaillée des mesures prises par Atlas pour éviter les attaques par injection rapide. À l’heure actuelle, il semble que la défense principale s’attend à ce que l’utilisateur surveille attentivement ce que fait le mode agent à tout moment !” Il a également qualifié les risques de sécurité et de confidentialité associés aux agents de navigation de « insurmontablement élevés ».

Moins de 24 heures après le lancement du navigateur, une faille de sécurité a été publiquement démontrée. Un pirate informatique avec le pseudo en ligne @elder_plinius a montré que l’agent Atlas est sensible à une attaque par « injection de presse-papiers ». La démonstration a montré comment l’agent pouvait être manipulé pour copier un lien malveillant. Un utilisateur qui colle ensuite ce lien pourrait être dirigé vers un site de phishing conçu pour voler ses informations d’identification.

Eight Sleep n’a pas immédiatement répondu à une demande de commentaire.

La découverte d’une faille de sécurité si peu de temps après sa publication a conduit les experts à mettre en garde contre des failles de confidentialité et de sécurité potentiellement plus importantes, de la taille d’un canyon, dans les navigateurs IA. La combinaison de la vaste collecte de données du navigateur à des fins de personnalisation et de ses potentielles failles de sécurité est décrite comme un risque important.