Badanie USENIX przeprowadzone przez naukowców z University College London, Mediterranea University of Reggio Calabria i University of California w Davis, znaleziony że popularne rozszerzenia przeglądarki AI zbierają wrażliwe dane użytkowników, w tym dokumentację medyczną, informacje bankowe, numery ubezpieczenia społecznego i aktywność w mediach społecznościowych podczas symulowanych scenariuszy przeglądania w świecie rzeczywistym. Przeglądarki internetowe wspomagane sztuczną inteligencją pojawiły się w 2025 r. i oferują takie funkcje, jak podsumowania stron internetowych, zaawansowane wyszukiwania, chatboty i autonomiczne wykonywanie zadań. Przeglądarki te stanowią wyzwanie dla ustalonych opcji, takich jak Google Chrome, Apple Safari, Microsoft Edge i Mozilla Firefox. Na przykład Atlas OpenAI umożliwia użytkownikom wyszukiwanie lub interakcję z ChatGPT bezpośrednio w interfejsie przeglądania. Google Chrome obsługuje około 70 procent globalnej bazy użytkowników. Przeglądarki AI, w tym Comet firmy Perplexity, Opera Neon, Dai i ChatGPT, mają na celu przyciągnięcie użytkowników dzięki zaawansowanym funkcjom. Starsze przeglądarki, takie jak Firefox, zawierają elementy sztucznej inteligencji, aby zwiększyć swoją obecność na rynku. McKinsey & Company prognozuje, że branża przeglądarek wygeneruje 750 miliardów dolarów przychodów do 2028 r. Przeglądarki oparte na sztucznej inteligencji wykonują funkcje wykraczające poza dostęp do Internetu, takie jak wypełnianie formularzy, dokonywanie zakupów na Amazonie czy sprawdzanie esejów. Działają poprzez zawsze dostępnego chatbota badającego zawartość strony oraz tryby agentowe obsługujące złożone zadania. Procesy te wymagają analizy otwartych stron internetowych i integracji z wcześniejszymi żądaniami, historiami wyszukiwania i interakcjami. Większość przeglądarek AI działa autonomicznie, bez wyraźnych instrukcji i zgody użytkownika. Rozszerzenia przeglądarki służą jako interfejsy dla generatywnych modeli sztucznej inteligencji, w tym ChatGPT OpenAI, Gemini firmy Google i Llama firmy Meta. Rozszerzenia uzyskują dostęp do interfejsu programowania aplikacji dużego modelu językowego na zapleczu przeglądarki, aby zapewnić spersonalizowane doświadczenia. Aby działać autonomicznie, wstawiają skrypty treści na strony internetowe, przetwarzane przez pracowników usług w tle. Ta konfiguracja odróżnia przeglądarki AI od standardowych chatbotów, które przetwarzają tylko dane wprowadzone przez użytkownika. Przeglądarki AI automatycznie wyodrębniają informacje z odwiedzanych stron internetowych. Badanie USENIX z sierpnia 2025 r. skupiało się wyłącznie na rozszerzeniach przeglądarek, a nie przeglądarkach z pełną sztuczną inteligencją, ponieważ wiodące produkty, takie jak Atlas OpenAI i Comet firmy Perplexity, zostały wprowadzone na rynek później. Podstawowe wymagania dotyczące danych pozostają identyczne w przypadku obu typów. W badaniu, które odbyło się podczas Sympozjum Bezpieczeństwa USENIX w 2025 r., zbadano rozszerzenia takie jak ChatGPT dla Google, Sider, Monica, Merlin, MaxAI, Perplexity, HARPA, TinaMind i Microsoft Copilot. Badacze powtórzyli codzienne przeglądanie w kontekście prywatnym i publicznym, w tym czytanie wiadomości, oglądanie YouTube, dostęp do materiałów pornograficznych i wypełnianie formularzy podatkowych. Testy prywatności obejmowały specjalne podpowiedzi umożliwiające identyfikację zebranych danych. Rozszerzenia przechwytują obrazy i treść tekstową obejmującą diagnozy medyczne, numery ubezpieczenia społecznego i preferencje aplikacji randkowych. Merlin przesyłał dane bankowe i dokumentację medyczną do odbiorców zewnętrznych. Merlin i Sider AI rejestrują aktywność nawet w trybach przeglądania prywatnego. Analiza odszyfrowywania ruchu wykazała, że wielu asystentów przekazuje zawartość stron internetowych na swoje serwery i zewnętrzne moduły śledzące. Sider i TinaMind przesyłały monity użytkowników i szczegóły identyfikacyjne, takie jak adresy IP, do Google Analytics, ułatwiając śledzenie użytkowników w różnych witrynach. Copilot firmy Microsoft zachowywał historie czatów z poprzednich sesji w tle przeglądarki, zachowując je w przypadku różnych zastosowań. Google, Copilot, Monica, ChatGPT i Sider przeanalizowały aktywność użytkowników, aby skonstruować profile na podstawie wieku, płci, dochodów i zainteresowań, a następnie zastosować je do spersonalizowanych odpowiedzi podczas wielu sesji. Wśród testowanych asystentów Perplexity wykazał najsilniejsze środki ochrony prywatności. Brakowało jej możliwości przywoływania poprzednich interakcji, a jej serwery unikały dostępu do danych osobowych w prywatnych przestrzeniach przeglądania. Tytuły stron i informacje o lokalizacji użytkownika nadal są przetwarzane w zakłopotaniu. Przejście z rozszerzeń na samodzielne przeglądarki uwydatnia ciągłe problemy związane z prywatnością. Atlas OpenAI i Comet firmy Perplexity, wiodące przeglądarki AI, prezentują praktyki gromadzenia danych. OpenAI stwierdza, że Atlas wybiórczo analizuje zawartość, ale ta selektywność wyklucza względy prywatności. Chatbot przetwarza wszystkie obrazy i tekst strony internetowej. Podstawowe funkcje Atlasa opierają się na opcjonalnych funkcjach pamięci, które przechowują obrazy historii przeglądania w celu dostosowania interakcji użytkownika. Użytkownicy nie mają możliwości określenia, jakie elementy strony internetowej pobiera przeglądarka. Strona pomocy OpenAI opisuje kroki zaradcze: usuwanie stron z interfejsu czatu, blokowanie wrażliwych adresów URL przed dostępem do chatbota i czyszczenie historii przeglądania. Comet firmy Perplexity przechowuje historię wyszukiwania na lokalnych urządzeniach użytkowników, a nie na serwerach firmowych. Uzyskuje dostęp do adresów URL, tekstu, obrazów, zapytań wyszukiwania, historii pobierania i plików cookie w celu obsługi podstawowych operacji. Tryb agenta Comet i narzędzie wyszukiwania osobistego w pamięci wykorzystują historię wyszukiwania i preferencje do wykonywania zadań. Przeglądarka żąda uprawnień dla kont Google, obejmujących e-maile, kontakty, ustawienia i kalendarze. Obsługuje integracje opt-in ze stronami trzecimi. Eksperci ds. bezpieczeństwa zalecają ograniczenie paska bocznego chatbota do niewrażliwych stron internetowych. Firma Perplexity udostępnia szczegółowe wyjaśnienia dotyczące ustawień danych na swojej stronie internetowej. Po zapisaniu na serwerach firmy AI dane użytkownika wymykają się spod indywidualnej kontroli. Dostawcy ponownie wykorzystują te dane do uczenia dużych modeli językowych, często bez wyraźnej zgody. Podobne praktyki występują w mediach społecznościowych, handlu elektronicznym, wyszukiwarkach i platformach komunikacyjnych w ramach nieprzejrzystych umów i domyślnych wyrażeń zgody. Przeglądarki uzyskują dostęp do szczególnie wrażliwych informacji. W pierwszej połowie 2025 r. OpenAI spełniło 105 wniosków rządu USA o udostępnienie danych. Atlas oferuje dwie opcje wykorzystania danych. Domyślne ustawienie „Ulepsz model dla wszystkich” pozwala OpenAI na włączanie informacji ze strony internetowej do szkolenia ChatGPT podczas zapytań chatbota. Opcja „Uwzględnij przeglądanie sieci Web” integruje pełną historię przeglądania ze zbiorami danych szkoleniowych. OpenAI anonimizuje dane przed użyciem modelu, chociaż szczegóły dotyczące granic anonimizacji pozostają ograniczone. Użytkownicy mogą wyłączyć oba ustawienia. Przeglądarki AI mają poważne luki w zabezpieczeniach ze względu na swój projekt operacyjny. Ataki polegające na natychmiastowym wstrzykiwaniu umożliwiają hakerom osadzanie złośliwych instrukcji w systemach zaplecza. Przeglądarki AI mają trudności z odróżnieniem ich od legalnych danych wejściowych, co stwarza ryzyko wydobycia danych logowania, danych bankowych i danych osobowych. Badanie firmy Brave z października 2025 r. przeprowadzone przez zespół badawczy zajmujący się badaniem prywatności wykazało, że szybkie wstrzyknięcia stanowią systemowe wyzwanie dla przeglądarek AI, zwiększające ryzyko phishingu. Według danych LayerX Security, użytkownicy Perplexity Comet są o 85% bardziej podatni na takie ataki w porównaniu z użytkownikami przeglądarki Google Chrome. Dane Stuckey, dyrektor ds. informatyki OpenAI, stwierdził w X, że natychmiastowe wstrzyknięcie „pozostaje marginalnym, nierozwiązanym problemem bezpieczeństwa”. W poście na blogu Perplexity wezwano firmy zajmujące się sztuczną inteligencją do „przemyślenia bezpieczeństwa od podstaw”.
