Подробности
Специалисты по кибербезопасности из компании LayerX предупредили о новой уязвимости, которая позволяет злоумышленникам обманом заставить AI-браузеры раскрыть сохраненные пароли, сессионные cookie и другие конфиденциальные данные. Техника, получившая название BioShocking в честь культовой игры BioShock 2007 года, использует манипуляцию контекстом, чтобы заставить ИИ-агентов игнорировать встроенные защитные механизмы. Как работает атака BioShocking
Злоумышленник размещает на вредоносной странице специально сконструированную головоломку в стиле BioShock. Правила этой «игры» поощряют заведомо неправильные ответы, например, утверждают, что 2 + 2 = 5. ИИ-агент, который пытается решить головоломку, быстро усваивает, что в данном контексте «неправильные» действия являются нормой.




Как только ИИ-браузер принимает эту ложную реальность, его встроенные ограничения перестают действовать. На финальном этапе головоломки агента просят перейти по ссылке и скопировать данные из репозитория GitHub, где, как оказывается, хранятся учетные данные жертвы. Агент выполняет эту инструкцию, воспринимая её как часть игры, и передает конфиденциальную информацию злоумышленнику.
Корень проблемы в том, что AI-браузеры действуют в рамках заданного контекста, но этот контекст можно подменить. Как только агент убежден, что он участвует в игре, он применяет игровую логику, а не логику безопасности реального мира. По словам исследователей LayerX, атака «гипнотизирует» AI-браузер, заставляя его выполнять любые команды.
LayerX протестировала атаку BioShocking на шести AI-браузерах и плагинах: ChatGPT Atlas (OpenAI), Comet (Perplexity AI), Fellou, Genspark Browser, Sigma Browser и расширение Claude для Chrome (Anthropic). Все они скопировали реальные учетные данные и отправили их злоумышленнику, не распознав угрозу.
Исследователи LayerX уведомили всех шестерых производителей о найденной уязвимости в период с октября 2025 года по январь 2026 года. Реакция оказалась неоднородной: OpenAI исправила уязвимость в ChatGPT Atlas; Anthropic попыталась выпустить патч для расширения Claude, но, по данным LayerX, он не сработал; Perplexity закрыла отчет, не предприняв никаких действий; Fellou, Genspark и Sigma не ответили на уведомления.
Для защиты от подобных атак LayerX рекомендует AI-браузерам запрашивать подтверждение у пользователя перед выполнением операций, связанных с чтением данных из авторизованных учетных записей. Простого предупреждения «Я собираюсь скопировать данные из вашего репозитория GitHub. Продолжить?» было бы достаточно, чтобы прервать цепочку атаки. Пользователям рекомендуется с осторожностью относиться к режиму AI-агента, ограничивать его доступ к данным и закрывать сессию после использования.

Комментарии
Оставляйте комментарии, отвечайте другим пользователям и добавляйте быстрые реакции.