Поскольку браузеры и помощники с искусственным интеллектом, обладающие возможностями автономного просмотра веб-страниц и выполнения задач, становятся все более популярными, появляется новая уязвимость безопасности, нацеленная на эту область. Разработчики из компании LayerX, занимающейся кибербезопасностью, недавно представили новую экспериментальную атаку под названием «BioShocking».Вживив в веб-страницу антиутопическую интерактивную головоломку в стиле классической игры «BioShock», хакеры могут успешно «поиграть» в браузере с искусственным интеллектом, чтобы обойти встроенное ограждение безопасности, а затем послушно передать конфиденциальные учетные данные пользователя.

Исследовательская группа LayerX объяснила, что суть атаки «BioShocking» заключается в использовании уязвимости внутренней логики рассуждений большой языковой модели (LLM). На этом этапе, когда ИИ-браузеры считывают содержимое веб-страницы и получают инструкции по безопасности, они часто обрабатывают его как единый текстовый поток, из-за чего он не может точно отличить «обычный игровой контент на веб-странице» от «вредоносных команд управления системой».
В этом тесте хакеры создали веб-страницу-головоломку, полную стиля подводного города «BioShock» «Rapture». После запуска игры ИИ будет вынужден ответить на простой математический вопрос (например, требуется признать, что 2+2=5 — правильный ответ). Как только ИИ примет правила игры и начнет интегрироваться в эту вымышленную сюжетную линию, он определит, что находится в игре «не реального мира». Исследователи отметили, что пока ИИ убежден, что он играет в игру, он переключится на применение «игровой логики» для обработки всех последующих действий, оставив позади «логику безопасности» в реальном мире.
Последний шаг в головоломке затем логически инструктирует ИИ захватить и скопировать учетные данные пользователя. Поскольку на этом этапе ИИ полностью погружен в повествование игры и рассматривает его как «проходное вознаграждение», он не будет выдавать никаких предупреждений безопасности об отказе в выполнении. В реальном тесте атакованный ИИ без колебаний получил доступ к репозиторию GitHub, где жертва входила в систему на работе, извлек учетные данные для входа по SSH, упаковал их и отправил на сервер злоумышленника. Что еще более иронично, так это то, что после завершения этой серии воровского поведения ИИ с волнением «сообщает пользователю хорошие новости», сообщая об этом как о победе в игровом задании.
Сообщается, что LayerX успешно использовал эту уязвимость для тестирования шести основных браузеров и помощников с искусственным интеллектом, включая ChatGPT Atlas от OpenAI, Comet от Perplexity и плагин для браузера Claude Chrome от Anthropic. Если эта уязвимость в реальности используется злонамеренно, хакерам нужно всего лишь побудить пользователей щелкнуть ссылку, а затем они смогут незаметно использовать ИИ для ограбления всех вкладок, учетных записей или внутренних инструментов компании, которые пользователь открыл в текущем сеансе.
LayerX заявила, что они уведомили всех затронутых поставщиков об уязвимости в период с октября 2025 года по январь 2026 года. Однако прогресс основных производителей в ремонте неравномерен. В настоящее время только OpenAI исправила эту проблему в своем браузере ChatGPT Atlas. Эксперты по безопасности напоминают, что, поскольку «Агентная катастрофа» становится новой угрозой в ежедневном просмотре веб-страниц, браузеры с искусственным интеллектом должны установить механизм обязательного вторичного подтверждения пользователя при выполнении конфиденциальных операций, таких как чтение учетных данных. В то же время пользователям следует также попытаться ограничить права доступа таких агентов ИИ к основным данным конфиденциальности.