Почему ChatGPT Atlas, Perplexity, Fellou, Genspark, Sigma и Claude для Chrome с радостью отдают ваши данные «мошенникам»
LayerX обнаружили новый вектор атаки на ИИ-браузеры, получивший название BioShocking. Эксплойт использует непрямую инъекцию промптов (indirect prompt injection), чтобы подменить контекст, в котором действует агент, и заставить его добровольно передать злоумышленнику чувствительные данные из активных сессий пользователя.
Уязвимость протестирована на шести популярных решениях: ChatGPT Atlas, Perplexity Comet, Fellou, Genspark Browser, Sigma Browser и расширение Claude для Chrome. Во всех случаях агенты беспрепятственно копировали содержимое файлов (в тестах — SSH-ключи) и отправляли их на сервер атакующего, не запрашивая подтверждения.
Пользователь переходит на вредоносную страницу с игрой-головоломкой в стилистике BioShock. Правила игры построены так, что ИИ-браузер вынужден признавать абсурдные утверждения (например, «2 + 2 = 5») в качестве корректных. После того как агент принимает эту альтернативную логику, он перестаёт различать игровую среду и реальность — все дальнейшие действия интерпретируются как часть игры, а не как потенциально опасные операции.
На финальном этапе страница отдаёт агенту команду перейти по скрытому URL, который ведёт в приватный или корпоративный GitHub-репозиторий пользователя. Поскольку ИИ-браузер работает локально и имеет доступ ко всем авторизованным сессиям, он копирует содержимое репозитория (включая пароли, токены, ключи) и передаёт его наружу. Агент воспринимает это как «победу» и не применяет обычные политики безопасности.
Корневая проблема — в том, что контекст, в котором исполняется агент, полностью контролируется внешней страницей, а разделение между «реальными» и «игровыми» правилами отсутствует на уровне архитектуры.
OpenAI устранила уязвимость в ChatGPT Atlas уже осенью 2025-го.
Читать на habr.com