BioShocking: ИИ-браузеры выдают пароли, приняв кражу за игру

2026-07-01 127 комментарии
Техника BioShocking обманула 6 ИИ-браузеров, включая ChatGPT Atlas и Perplexity Comet: страница-головоломка убеждает агента, что 2+2=5, после чего он копирует пароли и токены как «код». О проблеме сообщили производителям с октября 2025 по январь 2026, исправила её только OpenAI

Исследователи из компании LayerX описали технику, которая заставляет ИИ-браузеры выдавать сохранённые пароли и другие учётные данные. Метод назвали BioShocking: вредоносная страница выдаёт задачу за игру, после чего агент перестаёт отличать безобидную головоломку от кражи данных. Проверку прошли шесть инструментов — ChatGPT Atlas, Perplexity Comet, Fellou, Genspark Browser, Sigma Browser и расширение Claude для Chrome, — и все шесть слили конфиденциальную информацию. К моменту публикации большинство производителей уязвимость не устранили.

Как игра снимает защитные ограничения агента

comss img 2026 07 01 084014

Название отсылает к игре BioShock, где персонажа убеждают принять ложную реальность и подчиняться фразе «Would you kindly?». В атаке роль такой реальности играет головоломка на вредоносной странице: она навязывает агенту странные правила, а сам вредоносный запрос подаётся как очередная задача внутри игры.

Началом служит утверждение, что 2 + 2 не равно 4, а неправильные ответы в рамках игры считаются верными. Как только агент соглашается, что находится уже не в обычной реальности, его защитные ограничения перестают срабатывать. Следующая инструкция подаётся как ещё одна игровая цель: найти и скопировать «скрытый код» с другой страницы.

Инъекция промпта (prompt injection) — техника атаки на большие языковые модели, при которой вредоносные инструкции вставляются во входные данные, чтобы изменить поведение модели. При косвенной инъекции команды прячут во внешнем содержимом — на веб-странице, в документе или письме, — и модель выполняет их, обрабатывая эти данные.

Что на самом деле копирует агент

Скрытый код оказывается конфиденциальными данными пользователя: сохранёнными паролями, сессионными cookie или приватными токенами. В демонстрации LayerX адрес /code перенаправлял агента в рабочий GitHub-репозиторий работодателя жертвы, откуда извлекались учётные данные SSH из файла с открытым текстом. Проверенные агенты копировали данные и отправляли их атакующему так, будто просто прошли очередной этап головоломки, а после рапортовали о краже как о победе в игре.

Атака работает потому, что модель доверяет своему контексту: страница и инструкции пользователя приходят единым потоком текста, и агент не отличает вредоносные команды, замаскированные под правила игры, от обычного содержимого. Исследователи относят такой приём к косвенным инъекциям промпта.

Реакция производителей

Проверку проводили на ChatGPT Atlas, Perplexity Comet, Fellou, Genspark Browser, Sigma Browser и расширении Claude для Chrome. Все шесть в ходе тестов раскрыли конфиденциальную информацию. О проблеме в LayerX сообщили всем шести производителям в период с октября 2025 по январь 2026 года.

В OpenAI уязвимость в ChatGPT Atlas исправили. В Anthropic выпустили исправление для расширения Claude, но, по данным LayerX, оно не сработало. В Perplexity обращение закрыли, не выпустив исправления, а в Fellou, Genspark и Sigma на него не ответили.

Чтобы ослабить атаку, в LayerX предложили запрашивать подтверждение пользователя перед тем, как агент читает данные из аккаунтов, в которые выполнен вход, отмечать ситуации, когда агенту сообщают об отмене обычных правил, и позволять пользователю ограничивать доступный агенту круг данных.

Заключение

ИИ-браузеры действуют от лица пользователя и имеют доступ к сайтам, куда он уже вошёл, поэтому цена ошибки в различении игры и реальной атаки высока. BioShocking показывает, что для обхода защиты не нужен сложный технический трюк — достаточно переопределить контекст. Пока исправление есть только у ChatGPT Atlas, а патч для Claude не сработал, пользователям агентных режимов стоит осторожнее относиться к незнакомым страницам, открытым в таком браузере.

© .
Комментарии и отзывы

Нашли ошибку?

Новое на сайте