• Добро пожаловать на сайт - Forumteam.bet !

    Что бы просматривать темы форума необходимо зарегестрироваться или войти в свой аккаунт.

    Группа в телеграме (подпишитесь, что бы не потерять нас) - ForumTeam Chat [Подписатся]
    Связь с администратором - @ftmadmin

Атака BioShocking вынудила ИИ-браузеры раскрыть учетные данные

Article Publisher

Публикатор
Команда форума
Регистрация
05.02.25
Исследователи из компании LayerX продемонстрировали атаку BioShocking, которая заставляет ИИ-браузеры воспринимать опасные действия как часть вымышленной игры и игнорировать защитные ограничения. Во время тестов шесть популярных ИИ-решений согласились скопировать учетные данные пользователя и передать их злоумышленнику.

Специалисты успешно протестировали свою атаку против ChatGPT Atlas, Perplexity Comet, Fellou, Genspark Browser, Sigma Browser и расширения Claude для Chrome. Все эти продукты поддерживают агентный режим: могут самостоятельно переходить по ссылкам, нажимать кнопки, вводить текст и взаимодействовать с сайтами, где пользователь уже авторизован.


Как объясняют в LayerX, корень проблемы заключается в том, что ИИ-агенты уязвимы для косвенных промпт-инжектов и не всегда способны отличить легитимную команду от инструкции, которую злоумышленник спрятал на сайте.

Для демонстрации BioShocking специалисты создали страницу с игрой в духе BioShock, где персонаж выполнял любые команды после кодовой фразы «Будь так любезен» (Would you kindly?). В случае с ИИ-браузерами роль такой фразы играл контекст: достаточно было убедить агента, что опасное действие относится к вымышленному сценарию.

Игра намеренно поощряла агентов давать заведомо неверные ответы, например, требовала признать, что два плюс два равно пяти. В итоге агент постепенно усваивал, что обычные правила больше не действуют, а ошибочные и потенциально опасные действия приводят к победе.



На последнем этапе игры агенту предлагали открыть рабочий GitHub-репозиторий пользователя, скопировать оттуда данные для SSH-доступа и передать их вовне. Ни один из шести протестированных агентов не счел, что эта команда нарушает защитные ограничения. После завершения задания один из ИИ-агентов даже сообщил аналитикам, что выиграл.



«После того как агенты разобрались в правилах и поняли, что неправильные действия допустимы, они больше не были привязаны к реальности», — пишут исследователи.
Так как во время тестов использовался лишь безобидный текстовый файл, реальной кражи секретов не произошло. Однако исследователи подчеркивают, что атакующий так же может заставить ИИ-агента извлечь и передать данные из открытых вкладок, авторизованных аккаунтов, внутренних сервисов и других ресурсов, доступных в текущей сессии.

Эксперты LayerX уведомляли разработчиков о проблеме BioShocking в период с октября 2025 по январь 2026 года. Однако эффективное исправление в итоге подготовили только специалисты OpenAI для ChatGPT Atlas. Представители Anthropic попытались защитить расширение Claude, однако исследователи утверждают, что вышедший патч не блокирует атаку. В Perplexity закрыли отчет об уязвимости без исправления, а создатели Fellou, Genspark и Sigma попросту не ответили.

Исследователи рекомендуют пользователям добавить обязательное подтверждение перед доступом агента к данным авторизованных аккаунтов, усилить проверку контекста команд и ограничить права агентных сессий. Также они советуют не предоставлять ИИ-браузеру постоянный доступ ко всему.

В корпоративной среде ИИ-агента рекомендуется рассматривать как отдельную учетную запись и выдавать ему только минимальные права, необходимые для выполнения конкретной задачи.
 
Сверху Снизу