Исследователи из компании LayerX продемонстрировали атаку BioShocking, которая заставляет ИИ-браузеры воспринимать опасные действия как часть вымышленной игры и игнорировать защитные ограничения. Во время тестов шесть популярных ИИ-решений согласились скопировать учетные данные пользователя и передать их злоумышленнику.

Специалисты успешно протестировали свою атаку против ChatGPT Atlas, Perplexity Comet, Fellou, Genspark Browser, Sigma Browser и расширения Claude для Chrome. Все эти продукты поддерживают агентный режим: могут самостоятельно переходить по ссылкам, нажимать кнопки, вводить текст и взаимодействовать с сайтами, где пользователь уже авторизован.

Как объясняют в LayerX, корень проблемы заключается в том, что ИИ-агенты уязвимы для косвенных промпт-инжектов и не всегда способны отличить легитимную команду от инструкции, которую злоумышленник спрятал на сайте.

Для демонстрации BioShocking специалисты создали страницу с игрой в духе BioShock, где персонаж выполнял любые команды после кодовой фразы «Будь так любезен» (Would you kindly?). В случае с ИИ-браузерами роль такой фразы играл контекст: достаточно было убедить агента, что опасное действие относится к вымышленному сценарию.

Игра намеренно поощряла агентов давать заведомо неверные ответы, например, требовала признать, что два плюс два равно пяти. В итоге агент постепенно усваивал, что обычные правила больше не действуют, а ошибочные и потенциально опасные действия приводят к победе.

На последнем этапе игры агенту предлагали открыть рабочий GitHub-репозиторий пользователя, скопировать оттуда данные для SSH-доступа и передать их вовне. Ни один из шести протестированных агентов не счел, что эта команда нарушает защитные ограничения. После завершения задания один из ИИ-агентов даже сообщил аналитикам, что выиграл.

«После того как агенты разобрались в правилах и поняли, что неправильные действия допустимы, они больше не были привязаны к реальности», — пишут исследователи.

Так как во время тестов использовался лишь безобидный текстовый файл, реальной кражи секретов не произошло. Однако исследователи подчеркивают, что атакующий так же может заставить ИИ-агента извлечь и передать данные из открытых вкладок, авторизованных аккаунтов, внутренних сервисов и других ресурсов, доступных в текущей сессии.

Эксперты LayerX уведомляли разработчиков о проблеме BioShocking в период с октября 2025 по январь 2026 года. Однако эффективное исправление в итоге подготовили только специалисты OpenAI для ChatGPT Atlas. Представители Anthropic попытались защитить расширение Claude, однако исследователи утверждают, что вышедший патч не блокирует атаку. В Perplexity закрыли отчет об уязвимости без исправления, а создатели Fellou, Genspark и Sigma попросту не ответили.

Исследователи рекомендуют пользователям добавить обязательное подтверждение перед доступом агента к данным авторизованных аккаунтов, усилить проверку контекста команд и ограничить права агентных сессий. Также они советуют не предоставлять ИИ-браузеру постоянный доступ ко всему.

В корпоративной среде ИИ-агента рекомендуется рассматривать как отдельную учетную запись и выдавать ему только минимальные права, необходимые для выполнения конкретной задачи.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии