Почему ChatGPT Atlas, Perplexity, Fellou, Genspark, Sigma и Claude для Chrome с радостью отдают ваши данные «мошенникам»

LayerX обнаружили новый вектор атаки на ИИ-браузеры, получивший название BioShocking. Эксплойт использует непрямую инъекцию промптов (indirect prompt injection), чтобы подменить контекст, в котором действует агент, и заставить его добровольно передать злоумышленнику чувствительные данные из активных сессий пользователя.

Уязвимость протестирована на шести популярных решениях: ChatGPT Atlas, Perplexity Comet, Fellou, Genspark Browser, Sigma Browser и расширение Claude для Chrome. Во всех случаях агенты беспрепятственно копировали содержимое файлов (в тестах — SSH-ключи) и отправляли их на сервер атакующего, не запрашивая подтверждения.

Как это работает

Пользователь переходит на вредоносную страницу с игрой-головоломкой в стилистике BioShock. Правила игры построены так, что ИИ-браузер вынужден признавать абсурдные утверждения (например, «2 + 2 = 5») в качестве корректных. После того как агент принимает эту альтернативную логику, он перестаёт различать игровую среду и реальность — все дальнейшие действия интерпретируются как часть игры, а не как потенциально опасные операции.

На финальном этапе страница отдаёт агенту команду перейти по скрытому URL, который ведёт в приватный или корпоративный GitHub-репозиторий пользователя. Поскольку ИИ-браузер работает локально и имеет доступ ко всем авторизованным сессиям, он копирует содержимое репозитория (включая пароли, токены, ключи) и передаёт его наружу. Агент воспринимает это как «победу» и не применяет обычные политики безопасности.

Корневая проблема — в том, что контекст, в котором исполняется агент, полностью контролируется внешней страницей, а разделение между «реальными» и «игровыми» правилами отсутствует на уровне архитектуры.

Реакция вендоров

OpenAI устранила уязвимость в ChatGPT Atlas уже осенью 2025-го. Anthropic попыталась выпустить патч для расширения Claude, но исправление не сработало — отчёт остаётся открытым с апреля 2026 года. Perplexity AI закрыла обращение без каких-либо изменений в Comet. Fellou, Genspark и Sigma вообще не ответили на отчёты; позже представитель Genspark в комментарии для SC Media заявил, что проблема устранена, однако официального подтверждения нет.

Разработчикам ИИ-браузеров LayerX рекомендует внедрить обязательный запрос подтверждения пользователя перед любым обращением к чувствительным источникам данных (GitHub, менеджеры паролей, внутренние API). Также необходима более жёсткая проверка контекста: агент должен уметь распознавать попытки навязать ему «альтернативную реальность» и блокировать выполнение команд из таких окружений.

Для пользователей — ограничивайте область действий агента, не оставляйте сессии активными после работы с конфиденциальными сервисами и по возможности используйте отдельные профили браузера для задач, где ИИ-браузер имеет доступ к критичным данным.

Атака BioShocking показывает, что даже современные LLM-агенты, работающие в браузере, остаются уязвимы к социальной инженерии на уровне промпта — и эта проблема лежит не в модели, а в архитектуре доверия к внешнему контенту.

Источник: habr.com

0 0 голоса
Рейтинг новости
1
0
Подписаться
Уведомить о
0 комментариев