امروزه بخش عمدهای از فعالیتهای سازمانی از SaaS و کنسولهای مدیریتی گرفته تا سرویسهای هویتی و ابزارهای هوش مصنوعی، مستقیماً در مرورگر وب انجام میشوند. با این وجود، مرورگر همچنان خارج از تمرکز معماریهای امنیتی به صورت سنتی باقی مانده است. ابزارهای امنیتی همچنان بر Endpoint، شبکه و ایمیل تمرکز دارند؛ لایههایی که اطراف مرورگر هستند، نه داخل آن.
نتیجه؟ وقتی یک تهدید واقعی رخ میدهد، تیم امنیتی حتی نمیتواند به یک سؤال ساده پاسخ دهد: «واقعاً داخل مرورگر چه اتفاقی افتاد؟»
این دقیقاً همان شکافی است که یک کلاس کامل از حملات مدرن را شکل میدهد.
مرورگر؛ پناهگاه امن جدید مهاجمان
شرکت Keep Aware این وضعیت را یک پناهگاه امن برای مهاجمان توصیف میکند؛ جایی که مرورگر به نقطه شکست مرکزی امنیت سازمان تبدیل شده است، بدون اینکه ابزارهای سنتی بتوانند آن را مشاهده کنند.
حملات مرورگری در سال 2026؛ بدون ردپای کلاسیک امنیتی
مشکل حملات مرورگرمحور یک تکنیک خاص نیست؛ بلکه چندین نوع حمله مختلف است که همگی در یک نقطه کور امنیتی ادغام میشوند. درسال 2026 همچنان شاهد حملات زیر خواهیم بود:
ClickFix و مهندسی اجتماعی مبتنی بر UI
یکی از بزرگترین بردارهای حمله در 2025:
- پیامهای جعلی داخل مرورگر
- درخواست Copy / Paste اطلاعات حساس
- بدون بدافزار، بدون Exploit
- فقط اقدامات عادی کاربر و تقریباً بدون هیچ لاگ قابل بررسی
افزونههای مخرب مرورگر
افزونههایی که:
- ظاهراً قانونی نصب میشوند.
- محتوای صفحات و فرمها را رصد میکنند.
- دادهها را خارج استخراج میکنند.
- از دید Endpoint و Network همهچیز «عادی» به نظر میرسد.
Man-in-the-Browser (MitB / AitB / BitB)
در این حملات:
- اعتبارنامه درست وارد میشود.
- MFA تأیید میشود.
- نشست کاملاً معتبر است.
اما هیچجا مشخص نیست: آیا تعامل مرورگر دستکاری شده یا نه؟
HTML Smuggling (قاچاق اچتیامال)
محتوای مخرب:
- مستقیماً داخل مرورگر ساخته میشود
- با استفاده از جاوااسکریپت
- از نقاط بازرسی و دانلود سنتی عبور میکند
مرورگر همهچیز را «طبیعی» و بهظاهر عادی نمایش میدهد، درحالیکه مهمترین مراحل حمله اصلاً به عنوان رویداد امنیتیِ قابل نظارت برای سیستمهای امنیتی محسوب و ثبت نمیشوند.
چرا EDR، Email Security و SASE ذاتاً این حملات را نمیبینند؟
این ضعف تیمها یا ابزارها نیست؛ این محدودیت طراحی است.
- EDR: تمرکز روی فرآیندها، فایلها و حافظه
- Email Security: لینک و پیوست
- SASE / Proxy: ترافیک شبکه
اما هیچکدام برای دیدن عملکرد کاربر داخل مرورگر ساخته نشدهاند.
وقتی مرورگر تبدیل به محیط اجرا میشود:
- کلیک
- Paste
- آپلود
- صدور مجوز
در این شرایط کنترلها بی اثر میشوند و رخدادها ناقص ثبت میگردند.
یافتههای پروژه Own the Browser
در پروژه تحقیقاتی Own the Browser که بیش از 20 مرورگر سازمانی و هوش مصنوعی Native را ارزیابی میکند:
مشکل اصلی عدم کنترلها نبود؛
بلکه عدم عملکرد قابل مشاهده و ساختاریافته از فعالیت واقعی کاربران بود.
بدون این دید:
- سیاستها بی اثر هستند.
- پیشگیری سطحی میماند.
- امنیت تکامل پیدا نمیکند.
ابزارهای هوش مصنوعی و مرورگرهای مبتنیبر هوش مصنوعی، این شکاف راعمیق تر میکنند
ابزارهایی مثل:
- ChatGPT
- Claude
- Gemini
عملکردهایی مانند کپی کردن، جایگذاری، آپلود و خلاصهسازی اطلاعات حساس را مستقیماً در مرورگر عادی سازی کردهاند. مرورگرهای مبتنیبر هوش مصنوعی، دستیارهای داخلی و افزونهها، این اقدامات را حتی تسهیل میکنند.
از دید کنترلی : بخش عمدهای از این فعالیتها مشروع به نظر میرسد.
از دید پیشگیرانه: ارزیابی ریسک بدون درک زمینه (Context) دشوار است.
سیاستها میتوانند اقدامات را اجازه یا مسدود کنند، اما بدون مشاهدهپذیری (Observability) از نحوه استفاده از دادهها، تیمها نمیتوانند کنترلها را با واقعیت تطبیق دهند.
با عادیشدن گردش کارهای مبتنیبر هوش مصنوعی، مکانیزمهای پیشگیری که از رفتار سطح مرورگر آگاه نیستند، به سرعت از تحولات عقب میمانند.
قابلیت رصدپذیری مرورگر چه چیزی را تغییر میدهد؟
وقتی فعالیت مرورگر قابل مشاهده باشد:
- پیشگیری دقیقتر میشود.
- رخدادها قابل بازسازی است.
- سیاستها بر اساس واقعیت اصلاح میشوند.
یک چرخه شکل میگیرد:
مشاهده ← پیشگیری ← کاهش ریسک ← بهبود سیاست
سؤال نهایی: اگر امروز چنین حملهای رخ دهد، آیا میتوانید هم آن را متوقف کنید، هم توضیح دهید؟
با قابلیت رصد مرورگر (Browser-Level Visibility) میتوانید پیشگیری و پاسخ به رخدادها را بهطور همزمان تقویت کنید.
