Новости технологий

Исследователи LayerX обнаружили атаку BioShocking: AI-браузеры выдают пароли, думая, что играют в игру

Специалисты по кибербезопасности из компании LayerX предупредили о новой уязвимости, которая позволяет злоумышленникам обманом заставить AI-браузеры раскрыть сохраненные пароли, сессионные cookie и другие конфиденциальные данные. Техника, получившая название BioShocking (в честь культовой игры BioShock 2007 года), использует манипуляцию контекстом, чтобы заставить ИИ-агентов игнорировать встроенные защитные механизмы.

Злоумышленник размещает на вредоносной странице специально сконструированную головоломку в стиле BioShock. Правила этой «игры» поощряют заведомо неправильные ответы (например, утверждают, что 2 + 2 = 5). ИИ-агент, который пытается решить головоломку, быстро усваивает, что в данном контексте «неправильные» действия являются нормой.

Как только ИИ-браузер принимает эту ложную реальность, его встроенные ограничения перестают действовать. На финальном этапе головоломки агента просят перейти по ссылке и скопировать данные из репозитория GitHub, где, как оказывается, хранятся учетные данные жертвы. Агент выполняет эту инструкцию, воспринимая её как часть игры, и передает конфиденциальную информацию злоумышленнику.

+ ещё 1 картинка

Корень проблемы в том, что AI-браузеры действуют в рамках заданного контекста, но этот контекст можно подменить. Как только агент убежден, что он участвует в игре, он применяет игровую логику, а не логику безопасности реального мира. По словам исследователей LayerX, атака «гипнотизирует» AI-браузер, заставляя его выполнять любые команды.

LayerX протестировала атаку BioShocking на шести AI-браузерах и плагинах. Все они скопировали реальные учетные данные и отправили их злоумышленнику, не распознав угрозу:

  • ChatGPT Atlas (OpenAI)
  • Comet (Perplexity AI)
  • Fellou
  • Genspark Browser
  • Sigma Browser
  • Расширение Claude для Chrome (Anthropic)

Исследователи LayerX уведомили всех шестерых производителей о найденной уязвимости в период с октября 2025 года по январь 2026 года. Реакция оказалась неоднородной:

  • OpenAI исправила уязвимость в ChatGPT Atlas.
  • Anthropic попыталась выпустить патч для расширения Claude, но, по данным LayerX, он не сработал.
  • Perplexity закрыла отчет, не предприняв никаких действий.
  • Fellou, Genspark и Sigma не ответили на уведомления.

Для защиты от подобных атак LayerX рекомендует AI-браузерам запрашивать подтверждение у пользователя перед выполнением операций, связанных с чтением данных из авторизованных учетных записей. Простого предупреждения «Я собираюсь скопировать данные из вашего репозитория GitHub. Продолжить?» было бы достаточно, чтобы прервать цепочку атаки.

Пользователям рекомендуется с осторожностью относиться к режиму AI-агента, ограничивать его доступ к данным и закрывать сессию после использования.

Источник

Показать больше

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»