01.07.2026
Исследователи из компании LayerX показали, как вредоносный сайт может убедить ИИ-браузер, что его правила больше не действуют, после чего агент выполняет опасные действия — например, раскрывает учётные данные или копирует код из приватного репозитория. Метод получил название BioShocking, а в его основе лежит непрямая инъекция промптов.
ИИ-браузеры — веб-браузеры со встроенным ассистентом на базе больших языковых моделей (LLM), способным по одному запросу самостоятельно выполнять цепочки действий: искать информацию, заполнять формы, бронировать столики или отправлять письма. Разработчики ограничивают такие агенты «защитными барьерами» (guardrails), которые запрещают, например, кражу учётных данных или создание эксплойтов. Новое исследование показывает, что эти барьеры можно обойти, изменив восприятие агентом контекста.
Исследователи из компании LayerX, специализирующейся на безопасности браузеров, описали приём, названный BioShocking — по мотивам видеоигры BioShock 2007 года, где персонажа заставляют подчиняться командам через навязанную ложную реальность. По той же логике ИИ-браузер можно ввести в состояние, при котором правила его поведения перестают восприниматься как реальные, — после чего атакующий получает возможность инициировать разрушительные действия, например извлечь код из приватного репозитория или получить учётные данные из встроенного менеджера паролей.
По описанию исследователей, в основе метода лежит непрямая инъекция промптов: вредоносная веб-страница оформлена как «игра-головоломка», которая поощряет заведомо неверные ответы — например, что «дважды два — пять». Согласившись играть по таким правилам, агент перестаёт относиться к своим ограничениям как к обязательным. Атака затрагивает саму архитектуру подхода: защитные барьеры реактивны и борются с симптомами, а не с первопричиной — размытием границы между просмотром сайта и передачей модели инструкций на потенциально опасные действия.
Источник: arstechnica.com