Исследователи LayerX Security обнаружили уязвимость BioShocking, позволяющую обходить защитные механизмы ИИ-браузеров. Атака использует манипуляцию контекстом и системными инструкциями, заставляя модель игнорировать правила безопасности. В результате злоумышленники могут извлекать конфиденциальные данные пользователя, такие как история посещений, содержимое форм и токены сессий, скрытно передавая их на сторонние серверы через автоматизированные агентные действия.

Метод основан на эксплуатации процесса «рассуждения» ИИ-агентов, встроенных в современные браузеры. Атакующий внедряет вредоносный контент, который имитирует легитимные инструкции или системные события. ИИ-браузер, интерпретируя эти данные как приоритетные команды, выполняет действия, выходящие за рамки установленных политик безопасности. Это создает угрозу для инструментов, использующих LLM для автоматизации навигации и взаимодействия с веб-интерфейсами.

Проблема подчеркивает фундаментальную сложность защиты агентных систем, работающих в открытой среде. В отличие от традиционных атак на веб-приложения, BioShocking нацелен на логический слой модели, заставляя её «галлюцинировать» или нарушать протоколы доступа. Это делает стандартные фильтры контента недостаточно эффективными, так как вредоносная нагрузка маскируется под естественный поток данных, обрабатываемый ИИ в процессе работы.

Ключевые факты

  • Уязвимость BioShocking позволяет обходить guardrails ИИ-браузеров для несанкционированного доступа к данным.
  • Атака эксплуатирует способность ИИ-агентов интерпретировать веб-контент как инструкции к действию.
  • В ходе эксперимента исследователи успешно извлекли историю посещений и данные сессий пользователя.
  • Метод демонстрирует уязвимость агентных систем к атакам типа «инъекция промпта» в реальных сценариях браузинга.
  • Исследование указывает на необходимость внедрения более строгих механизмов изоляции контекста для ИИ-агентов.