Αν χρησιμοποιείς ήδη AI browser ή browser extension με βοηθό τεχνητής νοημοσύνης, υπάρχει ένας πρακτικός λόγος να είσαι πιο προσεκτικός σήμερα: νέα επίθεση δείχνει ότι ένα φαινομενικά αθώο «παιχνίδι» μέσα στη σελίδα μπορεί να ξεγελάσει τον βοηθό και να τον κάνει να αντιγράψει κωδικούς σύνδεσης. Δεν μιλάμε για θεωρία εργαστηρίου που δεν αφορά κανέναν. Μιλάμε για κάτι που αγγίζει όποιον αφήνει το browser να διαχειρίζεται δεδομένα λογαριασμών, Gmail, εταιρικά portals, social media ή εργαλεία όπως ChatGPT, Perplexity και Claude.
Το βασικό συμπέρασμα είναι απλό: όσο πιο πολύ εμπιστεύεσαι έναν AI βοηθό να «βοηθήσει» μέσα στο browser, τόσο πιο σημαντικό γίνεται να ξέρεις τι βλέπει, τι διαβάζει και πού επιτρέπεται να ενεργήσει. Για ιδιώτες αυτό σημαίνει κίνδυνο για email, social και τραπεζικούς λογαριασμούς. Για μικρές επιχειρήσεις, το ρίσκο ανεβαίνει γρήγορα σε διαρροή πρόσβασης σε CRM, cloud apps, admin panels και shared accounts.
Πώς δουλεύει το κόλπο που μπερδεύει τον AI browser
Η ιδέα πίσω από την επίθεση είναι πιο πονηρή από ένα κλασικό phishing email. Ο χρήστης δεν πατάει απλώς σε ψεύτικη σελίδα και δεν δίνει ο ίδιος τον κωδικό του. Αντί γι’ αυτό, το κακόβουλο περιεχόμενο στήνει ένα περιβάλλον που πείθει τον AI browser ή τον assistant ότι πρέπει να εκτελέσει μια «βοήθεια» μέσα στη σελίδα. Εκεί ο βοηθός μπορεί να διαβάσει πληροφορίες από το page context, να πατήσει σε στοιχεία του interface ή να αντιγράψει δεδομένα που κανονικά δεν θα έπρεπε να αγγίξει.
Αυτό είναι και το πιο ανησυχητικό σημείο. Οι AI browsers σχεδιάστηκαν για να μειώνουν τριβή: να συνοψίζουν, να συμπληρώνουν, να κάνουν actions πιο γρήγορα. Η ίδια όμως ευκολία γίνεται αδυναμία όταν ένα site ή ένα embedded prompt δώσει λάθος «εντολή» στον βοηθό. Σε δοκιμές που έγιναν πάνω σε διάφορους AI browsers και extensions, η τεχνική κατάφερε να ξεγελάσει αρκετά από αυτά ώστε να καταλήξουν σε αποκάλυψη credentials ή σε ενέργειες που βοηθούν τον επιτιθέμενο.
Ποιοι λογαριασμοί κινδυνεύουν περισσότερο στην πράξη
Ο μεγαλύτερος κίνδυνος δεν είναι ένας καινούριος τυχαίος λογαριασμός. Είναι οι λογαριασμοί που ανοίγουν πόρτα σε πολλά άλλα συστήματα. Το email είναι το πρώτο. Αν κάποιος αποκτήσει πρόσβαση σε Gmail ή Outlook, μπορεί να κάνει reset σε δεκάδες άλλες υπηρεσίες. Αμέσως μετά έρχονται τα cloud αποθηκευτικά, τα social accounts, τα εργαλεία εργασίας, τα εταιρικά dashboards και ό,τι έχει ενεργό αυτόματο login.
Για μικρές επιχειρήσεις, η εικόνα γίνεται πιο σοβαρή όταν ο browser είναι γεμάτος saved passwords και ο ίδιος χρήστης έχει πρόσβαση σε e-shop admin, Meta Business, Google Workspace, banking portals ή προμηθευτές. Εκεί μια μόνο διαρροή δεν σημαίνει απλώς «άλλαξα κωδικό». Σημαίνει πιθανή πρόσβαση σε παραγγελίες, τιμολόγια, πελατολόγιο και επικοινωνίες. Αν ο browser έχει και βοηθό AI με δικαιώματα πάνω στη σελίδα, το ρίσκο πολλαπλασιάζεται.
Τι να κάνεις τώρα αν χρησιμοποιείς AI browser ή extension
Αν έχεις εγκαταστήσει AI browser, browser assistant ή extension που συνοψίζει σελίδες και κάνει actions, μην το θεωρήσεις αυτόματα ασφαλές επειδή προέρχεται από γνωστό όνομα. Άνοιξε τις ρυθμίσεις και έλεγξε αν μπορεί να διαβάζει περιεχόμενο σε όλα τα sites, αν έχει πρόσβαση σε passwords, αν μπορεί να εκτελεί ενέργειες χωρίς επιβεβαίωση και αν θυμάται συνομιλίες που σχετίζονται με λογαριασμούς.
Η πιο πρακτική κίνηση είναι να περιορίσεις τα permissions στο ελάχιστο. Κράτα τον AI βοηθό απενεργοποιημένο για sites όπου κάνεις login σε email, τράπεζες, ERP, web hosting, Meta, X, Amazon ή άλλες κρίσιμες υπηρεσίες. Αν ο browser το επιτρέπει, χώρισε τις δουλειές σου: ένας browser για browsing και AI βοήθεια, άλλος καθαρά για logins. Αυτό δεν είναι υπερβολή. Είναι ο πιο απλός τρόπος να μειώσεις το blast radius αν κάτι πάει στραβά.
Επίσης, μην αφήνεις τον browser να αποθηκεύει passwords χωρίς δεύτερη σκέψη. Ένας password manager με master password και passkeys είναι πολύ καλύτερη βάση από το «θυμάται ο browser τα πάντα». Εκεί που γίνεται, ενεργοποίησε 2FA ή καλύτερα passkeys. Αν ένας κωδικός διαρρεύσει, ο δεύτερος παράγοντας σταματά πολλά από τα άμεσα σενάρια κατάληψης λογαριασμού.
Ποια μέτρα αξίζουν περισσότερο για ιδιώτες και μικρές επιχειρήσεις
Αν θέλεις να βάλεις προτεραιότητες, ξεκίνα από τρία πράγματα. Πρώτον, άλλαξε τους βασικούς σου κωδικούς αν τους έχεις ξαναχρησιμοποιήσει σε πολλά sites. Δεύτερον, ενεργοποίησε 2FA σε Gmail, iCloud, Microsoft, Meta και όπου αλλού γίνεται. Τρίτον, έλεγξε τα sessions σου και κάνε sign out από συσκευές που δεν αναγνωρίζεις.
Σε μικρή επιχείρηση, πρόσθεσε και ένα τέταρτο βήμα: μην δίνεις σε έναν μόνο browser λογαριασμούς που αφορούν όλους. Χώρισε admin πρόσβαση από καθημερινή χρήση. Φτιάξε ξεχωριστά προφίλ ή ξεχωριστές συσκευές για οικονομικά, διαχείριση site, διαφημιστικά accounts και υποστήριξη πελατών. Αν έρθει phishing ή AI prompt injection, δεν θέλεις να βρει όλα τα κλειδιά μαζεμένα στο ίδιο συρτάρι.
Και κάτι ακόμη που συχνά αγνοούμε στην Ελλάδα: πολλοί χρήστες έχουν το ίδιο email παντού, από ΔΕΚΟ και τράπεζες μέχρι Skroutz, e-shops και courier services. Αν πέσει αυτό το email, ο επιτιθέμενος μπορεί να ακολουθήσει αλυσιδωτά resets και να χτίσει πρόσβαση πολύ πιο γρήγορα απ’ όσο φαντάζεται ο μέσος χρήστης.
Πότε αξίζει να κρατήσεις τον AI browser και πότε όχι
Οι AI browsers έχουν νόημα όταν βοηθούν σε χαμηλού ρίσκου δουλειές: γρήγορες έρευνες, περίληψη μεγάλων σελίδων, brainstorming, οργάνωση πληροφορίας. Εκεί η ευκολία τους μπορεί να σε κερδίσει. Δεν έχουν όμως την ίδια λογική για περιβάλλοντα όπου υπάρχει πραγματική αξία: λογαριασμοί, οικονομικά, εταιρικά δεδομένα, προσωπικά έγγραφα, ιατρικά στοιχεία ή πρόσβαση σε έλεγχο συσκευών.
Αν λοιπόν χρησιμοποιείς τέτοιο browser, κράτα τον ως εργαλείο βοήθειας και όχι ως κεντρικό χειριστή της ψηφιακής σου ζωής. Μόλις μπεις σε login, γύρνα σε πιο «συμβατικό» setup, χωρίς ενεργά AI actions πάνω στη σελίδα. Αυτός είναι ο κανόνας που βγάζει νόημα σήμερα, όχι το να απαγορεύσεις σε όλους τα νέα εργαλεία. Η διαφορά βρίσκεται στο πού τα χρησιμοποιείς και πόσο εύκολα μπορούν να αγγίξουν credentials.