Emanuel Lipschütz

Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.

Allt fler webbläsare får AI-assistenter. I den här artikeln kallar jag dem AI-agenter när de även kan agera själva i bakgrunden, till exempel läsa mejl, trycka på knappar och initiera återställningar.

AI-assistenter i webbläsare kan luras av dold text och utföra attacker helt obemärkt. På senare tid har forskare visat hur det kan leda till kapade konton och läckta uppgifter. Här är vad som händer och hur du skyddar dig.

Vad är problemet?

När en AI-agent blandar ihop innehåll (sånt som står på en webbsida eller i mejl) med instruktioner (sånt den ska göra) kan den styras i smyg. En demo med webbläsaren Comet i vilken en sammanfattningsfunktion följde dolda instruktioner är ett tydligt exempel.

Så går en kapning till:

1.       När användaren klickar på en länk till en sammanfattning av en webbsida ser en AI-agent dold text som innehåller kommandon med dolda instruktioner. Instruktionerna kan döljas i till exempel vit-på-vit text och HTML-kommentarer. AI-assistenten uppfattar den skadliga koden som instruktioner från användaren.

2.       AI-agenten navigerar till användarens Perplexity-konto (Comet) och hämtar dennes e-postadress.

3.       I stället för en klassisk ”lösenordsåterställning” loggar agenten in för att trigga en engångskod (OTP) och sedan öppnar Gmail (där användaren redan är inloggad) för att läsa OTP:t.

4.       Kontot har kapats med hjälp av e-postadress och engångskod. Kontouppgifter kan sedan smygas ut genom exempelvis ett svar i en Reddit-tråd.

Varför funkar det? Tre saker sammanfaller: AI läser osäker webbtext, har tillgång till dina inloggade sessioner och kan agera utåt (till exempel starta återställningar). Att det är ett generellt problem, inte bara för webbläsare, visas till exempel av sårbarheten EchoLeak tidigare i år.

EchoLeak beskrivs som en ”nollklick”-sårbarhet i Microsoft 365 Copilot som möjliggör dataläckage utan användarinteraktion: en dold så kallad prompt-payload i till exempel e-post plockas upp i Copilots kontext och kan trigga exfiltrering. Microsoft har adresserat felet under våren 2025.

De beskrivna sårbarheterna kommer med all sannolikhet följas av ett flertal andra. Det utmärkande är att ”noll-klick”/”minimalt-klick”-angrepp blir vanligare när AI-agenter får bred åtkomst.

Gör det här nu:

* Undvik e-post som återställningsmetod och kräv två oberoende starka faktorer (till exempel Authenticator-kod + FIDO/Passkey).

* Säkra känsliga konton (ekonomi, admin) med passkeys/säkerhetsnycklar och hårdare återställningsregler.

* Uppdatera webbläsare och AI-tillägg regelbundet.

* Ge AI-agenten minsta möjliga behörighet: om den måste läsa mejl, använd ett separat läs-konto utan rätt att ändra säkerhet.

Fördjupning för organisationer:

* Separera innehåll från kommandon: behandla webbsidor och e-post som otillförlitliga och låt ett ”filter” eller en människa godkänna åtgärder innan de körs.

* Använd allow-lists över verktyg och datakällor AI får använda resten blockeras. Exempelvis AI får endast använda verktyg för intern sökning, men blockeras från e-post och återställningsflöden.

* Stäng av ”hjälp mig återställa”-flöden för AI-agenter där det går.

Frågan är inte om, utan när AI-agenterna blir måltavlor, så när AI-agenter blir vardag måste säkerhet byggas in från början. De som agerar nu står starkare mot nästa generations cyberattacker, de som väntar riskerar att få sin digitala identitet kapad i smyg.

Emanuel Lipschütz, cybersäkerhetsexpert på Cyber Defencely

Aktuell Säkerhet jobbar för alla som vill göra säkrare affärer och är därför en säker informationskälla för säkerhetsansvariga inom såväl privat som statlig och kommunal sektor. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik

Skaffa Aktuell Säkerhet Nyhetsbrev

Genom att klicka på ”Prenumerera” ger du samtycke till att vi sparar och använder dina personuppgifter i enlighet med vår integritetspolicy.