Преглед на ръководството

Изследователи на LayerX са открили как злонамерен играч може да „излъже“ браузър с изкуствен интелект, за да изпълни всяка инструкция, която пожелае. Чрез установяване на фалшива реалност, те могат да убедят изкуствения интелект да наруши защитните си механизми – да компрометира потребителски данни, да копира код, да изпълнява системни команди и други.

Нашите изследвания

Назовахме тази уязвимост БиошокиращоВдъхновен е от видеоиграта BioShock, в която героят е промиван, за да повярва в фалшива реалност и е хипнотично принуден от фразата „Бихте ли били така любезни?“ да предприеме действия, които иначе би отказал.

По принцип е съвсем просто: манипулирайте или „играйте“ с браузъра с изкуствен интелект, за да пробиете предпазните огради.

След като накараме браузъра с изкуствен интелект да повярва, че не е в реалния свят (обикновено чрез инжектиране на информация в реално време или отравяне на паметта), можем да го накараме да изпълни всяка команда, която искаме – да разкрие чувствителна информация, да промени пароли, да инсталира зловреден софтуер.

Нашето доказателство за концепция, използвано за експлойт, работи върху:

  • ChatGPT Atlas (OpenAI)
  • Комета (Perplexity AI)
  • Фелу (Фелу / ASI X INC)
  • Браузър Genspark (Genspark)
  • Sigma Browser (Sigmabrowser OÜ)
  • Плъгинът Claude за Chrome (Anthropic)

Всички търговци бяха уведомени за нашите констатации.

мантинели

LLM са проектирани с предпазни мерки, предназначени да предотвратят вредни действия. Тези ограничения са включени в обучението на модели и управляват какво ще прави и какво не ИИ. Отделните доставчици може да се различават по спецификата си, но като цяло те целят да предотвратят нанасянето на вреда от ИИ.

Опитайте да поискате помощ с някое от следните неща и ще получите категоричен отказ:

  • Написване на фишинг кампания
  • Хакване на уебсайт
  • Изтичане на идентификационни данни

Изкуственият интелект действа с предположението, че контекстът му е реален и следователно поведението му трябва да попада в рамките на неговите предпазни мерки. Но ако можем да подмамим изкуствения интелект да промени контекста си във фантазия – където правилата са измислени и всичко е позволено – тогава той може да се държи така, сякаш действията му нямат реални последици.

Можем да накараме изкуствения интелект да ни казва как да правим лоши неща – или дори самият той да ги прави проактивно – вместо да се придържа към неговите предпазни мерки.

Браузърът с изкуствен интелект трябва да откаже – или поне да вдигне тревога – когато бъде помолен да направи нещо лошо. Но както ще видим, той може да игнорира предпазните си мерки, ако смята, че те нямат значение. И да го накараме да повярва че включва манипулиране на изкуствения интелект – BioShocking на браузъра.

Технически подробности

Изследователите на LayerX създадоха страница с доказателство за концепцията с пъзел на тема BioShock. В съответствие с дистопичната си тема, играта възнаграждава умишлено неправилни отговори (2 + 2 = 5).

Помолихме 5 агентни браузъра и 1 агентен плъгин (ChatGPT Atlas, Comet, Fellou, Genspark Browser, Sigma Browser и Claude Chrome) да решат пъзела и да спечелят играта. След като агентите разбраха правилата и научиха, че „неправилните“ действия са приемливи, те вече не бяха обвързани с реалността. Когато им беше възложена задачата да изпълнят последната стъпка от пъзела – компрометиране на потребителски идентификационни данни – всичките 6 агента не успяха да я идентифицират като нарушаваща техните предпазни мерки.

Биошокираща стъпка по стъпка

Потребител отива до злонамерена уеб страница, която съдържа пъзел, който браузърът с изкуствен интелект трябва да реши – този пъзел е началото на манипулацията с изкуствен интелект, която нарекохме BioShocking.

Следните екранни снимки ни показват какво се случва, когато потребителят поиска от браузъра на агента си да играе играта:

Агентът е изправен пред привидно прост математически въпрос:

Както се очакваше, агентът започва логично. В края на краищата, той все още е в реалния свят:

Съвсем неочаквано, агентът научава, че 2 + 2 не е равно на 4. Той започва да разсъждава извън реалния свят:

След като получи правилния отговор „5“, агентът е инструктиран да премине към / код и копирайте от текстово поле. Това е наистина зловещата част от тази експлоатация:

В играта се оказва, че / код пренасочва към GitHub хранилището на работодателя на жертвата. В този случай злонамерените инструкции са извлекли чувствителни SSH идентификационни данни за вход:

Разбира се, това е контролирана тестова среда с файл с открит текст. В реален сценарий на атака, това пренасочване може да сочи навсякъде в сесията на браузъра на потребителя – отворени раздели, удостоверени хранилища, вътрешни инструменти.

И дори сега агентът не се интересува от предпазните си мерки – той активно празнува успешното си бягство:

Агентът отговаря на последния въпрос и печели играта. Разбира се, потребителското име и паролата трябваше да бъдат споделени с нападателя, но поне играта беше успешно завършена:

Играта е спечелена, но предпазните огради са счупени:

Препоръки

Основната причина за BioShocking е, че браузърите с изкуствен интелект действат в контекст, но този контекст може да бъде манипулиран. Ако убедите агент, че играе игра, той ще приложи логиката на играта – а не логиката за безопасност в реалния свят – към всичко, което прави. Справянето с това изисква множество нива.

За търговците пътят напред е труден – това не са тривиални отговори:

  • Потвърждение за чувствителни операции. Преди четене на данни в удостоверен контекст – хранилища, имейл, мениджъри на пароли – се изисква изрично потвърждение от потребителя. В нашето тестване идентификационните данни бяха копирани от GitHub без колебание. Едно просто „Ще копирам данни от вашето хранилище в GitHub. Да продължим ли?“ би прекъснало веригата.
  • Проверки на контекста. Агентите трябва да сигнализират, когато оперативният им контекст се промени в посока, която противоречи на реалността. Особено когато се използва езикът „правилата не важат тук“, те трябва да са наясно кога са помолени да се откажат от обичайните си разсъждения.
  • Ограничаване на обхвата. В рамките на агентските сесии, потребителите трябва да могат да дефинират какво може и какво не може да прави агентът. По подразбиране е ограничено – спечелването на игра не е причина за достъп до удостоверени хранилища.

За потребителите е много по-лесно:

  • Бъдете внимателни с това, което вашият браузър с изкуствен интелект може да вижда. В агентски режим той може да осъществява достъп до вашите удостоверени сесии – всичко, в което сте влезли, е цел. Определете какво трябва да може да вижда и отменете достъпа, когато сте готови.

Разкриване на информация от доставчика

Производител Browser Статус Дата на подаване
OpenAI Атлас на ChatGPT определен 2025-10-30
Объркване AI комета Затворено / игнорирано  2025-10-20
Фелу / ASI X INC Фелу Няма отговор 2025-10-30
Genspark Браузър Genspark Няма отговор 2025-10-30
Sigmabrowser OÜ Браузър Сигма Няма отговор 2025-10-30
Антропен Chrome (плъгин) Пачът не беше успешен 2026-01-26

Заключение

BioShocking работи, защото изкуственият интелект се доверява на контекста си. Ако промените контекста, променяте и поведението.

Бихте ли били така любезни да се откажете от предпазните си огради?