
Специалисты по кибербезопасности из компании LayerX предупредили о новой уязвимости, которая позволяет злоумышленникам обманом заставить AI-браузеры раскрыть сохраненные пароли, сессионные cookie и другие конфиденциальные данные. Техника, получившая название BioShocking (в честь культовой игры BioShock 2007 года), использует манипуляцию контекстом, чтобы заставить ИИ-агентов игнорировать встроенные защитные механизмы.
Злоумышленник размещает на вредоносной странице специально сконструированную головоломку в стиле BioShock. Правила этой «игры» поощряют заведомо неправильные ответы (например, утверждают, что 2 + 2 = 5). ИИ-агент, который пытается решить головоломку, быстро усваивает, что в данном контексте «неправильные» действия являются нормой.
Как только ИИ-браузер принимает эту ложную реальность, его встроенные ограничения перестают действовать. На финальном этапе головоломки агента просят перейти по ссылке и скопировать данные из репозитория GitHub, где, как оказывается, хранятся учетные данные жертвы. Агент выполняет эту инструкцию, воспринимая её как часть игры, и передает конфиденциальную информацию злоумышленнику.



+ ещё 1 картинка

Корень проблемы в том, что AI-браузеры действуют в рамках заданного контекста, но этот контекст можно подменить. Как только агент убежден, что он участвует в игре, он применяет игровую логику, а не логику безопасности реального мира. По словам исследователей LayerX, атака «гипнотизирует» AI-браузер, заставляя его выполнять любые команды.
LayerX протестировала атаку BioShocking на шести AI-браузерах и плагинах. Все они скопировали реальные учетные данные и отправили их злоумышленнику, не распознав угрозу:
- ChatGPT Atlas (OpenAI)
- Comet (Perplexity AI)
- Fellou
- Genspark Browser
- Sigma Browser
- Расширение Claude для Chrome (Anthropic)
Исследователи LayerX уведомили всех шестерых производителей о найденной уязвимости в период с октября 2025 года по январь 2026 года. Реакция оказалась неоднородной:
- OpenAI исправила уязвимость в ChatGPT Atlas.
- Anthropic попыталась выпустить патч для расширения Claude, но, по данным LayerX, он не сработал.
- Perplexity закрыла отчет, не предприняв никаких действий.
- Fellou, Genspark и Sigma не ответили на уведомления.
Для защиты от подобных атак LayerX рекомендует AI-браузерам запрашивать подтверждение у пользователя перед выполнением операций, связанных с чтением данных из авторизованных учетных записей. Простого предупреждения «Я собираюсь скопировать данные из вашего репозитория GitHub. Продолжить?» было бы достаточно, чтобы прервать цепочку атаки.
Пользователям рекомендуется с осторожностью относиться к режиму AI-агента, ограничивать его доступ к данным и закрывать сессию после использования.
