Browser Privilege Boundary: כש-AI הופך לסוכן
מאת שי מרדכי | עודכן ב-19 במאי 2026
מהפכת הבידוד
בעבר, כל דפדפן היה תהליך אחד גדול. אם אתר אחד קרס, ה-OS היה מבצע killall וכל ה-Tabs היו נסגרים איתו. באותה תקופה, לתהליך הדפדפן הייתה גישה להכל – גם ל-CPU וגם ל-I/O. המשמעות: לסקריפט זדוני באתר הייתה גישה קלה וישירה לרכיבי המחשב שלכם.
כיום, הדפדפנים משתמשים בארכיטקטורה שונה לגמרי. בזכות עיקרון ה-Site Isolation, לכל Tab יש תהליך משלו ב-RAM. לתהליך הזה קוראים Renderer, והוא מכיל שני מנועים עיקריים: מנוע הרינדור (כמו WebKit או Blink) שמעבד את קוד ה-HTML/CSS לפיקסלים, ומנוע ה-V8 שמקמפל קוד JS לפקודות מכונה.
בארכיטקטורה הזו, לתהליך הבן (ה-Renderer) יש גישה רק ל-CPU בשביל חישובים. הוא עטוף ב-Sandbox, כך שאם הוא ינסה לבצע Syscalls כדי להשתמש ב-I/O (כמו לגשת למסך, למצלמה או למערכת הקבצים), מערכת ההפעלה תראה מיד שלתהליך הזה אין הרשאות – ותחסום את הבקשה.
השומר שעל החומה: The Browser Process
אז אם ה-Renderer כלוא, איך אנחנו בכל זאת רואים תוכן על המסך, שומרים קבצים או מפעילים מצלמה לשיחת וידאו? כאן נכנס לתמונה התהליך הראשי של הדפדפן (Browser Process). הוא משמש בתור "שומר". ה-Renderer שולח לו בקשות דרך מנגנון תקשורת שנקרא IPC. השומר בודק את ההרשאות (למשל, האם המשתמש לחץ "Allow" על בקשת המצלמה?), ורק אם הכל תקין, הוא מבצע את פעולת ה-I/O עבורו. זהו קו הגבול האמיתי – ה-Browser Privilege Boundary.
החרגה מבוקרת: Extensions
כדי שתוספים כמו מנהלי סיסמאות או חוסמי פרסומות יוכלו לעבוד, הם חייבים לקבל "הצצה" למה שקורה בתהליכי ה-Renderer של Tabs אחרים. לכן, הדפדפן מעניק להם גישה מורחבת, אך עדיין הם נשארים תחת מעטפת ה-Sandbox וללא גישה ישירה ל-I/O.
הסוס הטרויאני של 2026: Agentic AI
ואז נכנסה לתמונה הבינה המלאכותית העצמאית. כדי שסוכן AI שמוטמע בדפדפן יהיה באמת שימושי, הוא צריך הרשאות. הוא צריך לקרוא את כל הטאבים שלכם כדי לסכם אותם, גישה לקבצים מקומיים כדי לנתח מסמכים, ויכולת פעולה עצמאית.
כדי לאפשר את זה, חברות הטכנולוגיה פשוט העניקו לסוכני ה-AI "מפתח מאסטר". הן יצרו עבורם סביבות ריצה בעלות הרשאות-על, שפועלות מעל או מחוץ ל-Sandbox הרגיל והמוגבל של הדפדפן. המשמעות: בעידן ה-Agentic AI, האקרים כבר לא צריכים למצוא חולשות מורכבות במנוע ה-V8. כל מה שהם צריכים לעשות זה לנצל את ה-AI בעל ההרשאות הגבוהות, ולגרום לו לבצע את העבודה עבורם.
עדכון מהשטח (מאי 2026)
לפני כחודש פרסמתי מאמר שניתח את האתגר של הרצת Agentic AI בתוך הדפדפן. לאחרונה, חברות כמו Anthropic החלו ליישם פתרונות של self-hosted sandboxes. הפתרון מבוסס על מתן הרשאות ספציפיות, נקודתיות ומוגדרות מראש, באמצעות מודל MCP Tunnels.
עם זאת, הפתרון הזה מעלה סימני שאלה: האם MCP Tunnels הם באמת הפתרון הסופי? "מרבה APIs מרבה דאגה", וייתכן מאוד שבקרוב נשמע על פירצות אבטחה חדשות שמתמקדות דווקא במנהרות ה-MCP האלו.
13.7.26 תובנות ל-Malware Analysis:
- מנוזקת ה-Agentic AI שנחשפה לאחרונה (RememberAll), ניתן לראות איך הנוזקות לא משתמשות רק בפונקציות של ה-VM (כגון JIT או ART), אלא עברו להשתמש ישירות ב-API של ה-AI Agent — ה-MCP, וגורמות לו להריץ Payload זדוני. ארכיטקטורה זו מקשה על הניתוח הדינמי עם Frida, אך זה משאיר פתרונות יצירתיים יותר, כגון לשים את ה-Hook על שכבת ה-IPC של הדפדפן, רגע לפני שהמידע מגיע ל-MCP.