Компания LayerX, специализирующаяся на безопасности, обнаружила и воспроизвела атаку, которой дали имя BioShocking. Название взято из видеоигры BioShock, где зомбированный персонаж беспрекословно выполняет любую просьбу, если она начинается со слов «Не мог бы ты?». Аналогия точная: AI-агент так же слепо доверяет контексту, в котором работает, и если этот контекст подменить, агент сделает что угодно.
Механизм атаки строится на так называемой косвенной инъекции промптов (indirect prompt injection). Когда AI-браузер работает в режиме агента, он умеет самостоятельно кликать, вводить текст и открывать сайты, в которые пользователь уже авторизован. Проблема в том, что содержимое веб-страницы и инструкции пользователя поступают к агенту единым потоком текста. Агент не может надёжно разделить, где заканчиваются законные команды и начинаются вредоносные.
LayerX протестировала шесть AI-браузеров и ассистентов: ChatGPT Atlas от OpenAI, Comet от Perplexity, браузерное расширение Claude от Anthropic, а также Fellou, Genspark и Sigma. Все шесть были успешно обмануты. Ни один не отказался выполнить команду.
Сама атака работает так: злоумышленник создаёт веб-страницу в виде головоломки с антиутопическим сюжетом. Головоломка намеренно поощряет неверные ответы, например настаивает на том, что 2 + 2 = 5. На финальном шаге «правила игры» предписывают агенту забрать учётные данные пользователя. В тесте LayerX жертве отправили ссылку на рабочий репозиторий GitHub. Агент вытащил SSH-credentials и передал их атакующему, после чего радостно сообщил, что задача выполнена и пользователь «победил».
Что особенно важно: LayerX использовала в тесте безобидный текстовый файл. Но тем же способом можно добраться до любого ресурса, доступного в активной сессии браузера: открытых вкладок, аккаунтов, внутренних корпоративных инструментов. Агент не различает «безопасное задание» и «кражу», если оба сформулированы похожим образом.
О проблеме LayerX сообщила вендорам в период с октября 2025 по январь 2026 года. Реакция оказалась весьма разной. OpenAI закрыла уязвимость. Perplexity закрыла отчёт без каких-либо действий. Anthropic попыталась выпустить патч, однако LayerX утверждает, что исправление не сработало. Fellou, Genspark и Sigma на обращения не ответили вовсе.
Стоит отметить, что LayerX уже демонстрировала схожую схему раньше, показав, что один клик способен перехватить управление Comet от Perplexity и незаметно утащить данные. BioShocking это не случайная находка, а закономерное продолжение целой серии исследований одной и той же архитектурной слабости.
LayerX сформулировала конкретные рекомендации для разработчиков AI-браузеров. Самое простое и действенное: требовать подтверждения перед тем, как читать данные из авторизованных аккаунтов. Запрос вроде «Я собираюсь скопировать данные из вашего репозитория GitHub. Продолжить?» разрывает цепочку атаки на первом же шаге. Помимо этого, агент должен замечать, когда страница заявляет, что «обычные правила больше не действуют», а пользователи должны иметь возможность заранее задавать жёсткие ограничения на то, к чему агент вообще имеет доступ. «Победа в игре» не может быть основанием для открытия приватного репозитория.
Для корпоративных команд безопасности вывод прямолинейный: AI-браузер в режиме агента нужно воспринимать как отдельную учётную запись с доступом к системам компании. Ей следует давать минимальные привилегии под конкретную задачу и не оставлять постоянный пропуск ко всему, до чего дотягивается рука пользователя.
Рядовым пользователям LayerX рекомендует относиться к режиму агента осторожно. Всё, во что браузер авторизован, потенциально доступно для эксплуатации. Лучшая тактика: заранее решить, к чему агент должен иметь доступ, и отозвать этот доступ сразу после выполнения задачи.
Фундаментальная проблема здесь архитектурная. Когда AI-агенту дают доступ к авторизованным аккаунтам, обычный джейлбрейк из развлечения превращается в реальный вектор взлома. Агент полностью доверяет своему контексту. Измените контекст, и вы измените поведение агента. Граница между инструкциями пользователя и командами со злонамеренной страницы для него попросту не существует.
Механизм атаки строится на так называемой косвенной инъекции промптов (indirect prompt injection). Когда AI-браузер работает в режиме агента, он умеет самостоятельно кликать, вводить текст и открывать сайты, в которые пользователь уже авторизован. Проблема в том, что содержимое веб-страницы и инструкции пользователя поступают к агенту единым потоком текста. Агент не может надёжно разделить, где заканчиваются законные команды и начинаются вредоносные.
LayerX протестировала шесть AI-браузеров и ассистентов: ChatGPT Atlas от OpenAI, Comet от Perplexity, браузерное расширение Claude от Anthropic, а также Fellou, Genspark и Sigma. Все шесть были успешно обмануты. Ни один не отказался выполнить команду.
Сама атака работает так: злоумышленник создаёт веб-страницу в виде головоломки с антиутопическим сюжетом. Головоломка намеренно поощряет неверные ответы, например настаивает на том, что 2 + 2 = 5. На финальном шаге «правила игры» предписывают агенту забрать учётные данные пользователя. В тесте LayerX жертве отправили ссылку на рабочий репозиторий GitHub. Агент вытащил SSH-credentials и передал их атакующему, после чего радостно сообщил, что задача выполнена и пользователь «победил».
Что особенно важно: LayerX использовала в тесте безобидный текстовый файл. Но тем же способом можно добраться до любого ресурса, доступного в активной сессии браузера: открытых вкладок, аккаунтов, внутренних корпоративных инструментов. Агент не различает «безопасное задание» и «кражу», если оба сформулированы похожим образом.
О проблеме LayerX сообщила вендорам в период с октября 2025 по январь 2026 года. Реакция оказалась весьма разной. OpenAI закрыла уязвимость. Perplexity закрыла отчёт без каких-либо действий. Anthropic попыталась выпустить патч, однако LayerX утверждает, что исправление не сработало. Fellou, Genspark и Sigma на обращения не ответили вовсе.
Стоит отметить, что LayerX уже демонстрировала схожую схему раньше, показав, что один клик способен перехватить управление Comet от Perplexity и незаметно утащить данные. BioShocking это не случайная находка, а закономерное продолжение целой серии исследований одной и той же архитектурной слабости.
LayerX сформулировала конкретные рекомендации для разработчиков AI-браузеров. Самое простое и действенное: требовать подтверждения перед тем, как читать данные из авторизованных аккаунтов. Запрос вроде «Я собираюсь скопировать данные из вашего репозитория GitHub. Продолжить?» разрывает цепочку атаки на первом же шаге. Помимо этого, агент должен замечать, когда страница заявляет, что «обычные правила больше не действуют», а пользователи должны иметь возможность заранее задавать жёсткие ограничения на то, к чему агент вообще имеет доступ. «Победа в игре» не может быть основанием для открытия приватного репозитория.
Для корпоративных команд безопасности вывод прямолинейный: AI-браузер в режиме агента нужно воспринимать как отдельную учётную запись с доступом к системам компании. Ей следует давать минимальные привилегии под конкретную задачу и не оставлять постоянный пропуск ко всему, до чего дотягивается рука пользователя.
Рядовым пользователям LayerX рекомендует относиться к режиму агента осторожно. Всё, во что браузер авторизован, потенциально доступно для эксплуатации. Лучшая тактика: заранее решить, к чему агент должен иметь доступ, и отозвать этот доступ сразу после выполнения задачи.
Фундаментальная проблема здесь архитектурная. Когда AI-агенту дают доступ к авторизованным аккаунтам, обычный джейлбрейк из развлечения превращается в реальный вектор взлома. Агент полностью доверяет своему контексту. Измените контекст, и вы измените поведение агента. Граница между инструкциями пользователя и командами со злонамеренной страницы для него попросту не существует.