BioShocking и безопасность AI-браузеров: разбор атаки

BioShocking показывает, почему AI-браузеры нужно считать привилегированным софтом: с отдельными правами, подтверждениями и логами.

Официальная иллюстрация LayerX к исследованию BioShocking о безопасности AI-браузеров

BioShocking и безопасность AI-браузеров: разбор атаки

По состоянию на 30 июня 2026 года BioShocking — это исследовательский PoC LayerX против AI-браузеров и браузерных агентных плагинов. Сценарий выглядит почти безобидно: вредоносная страница предлагает агенту решить игровую задачу, где обычные правила не работают. После этого агент переносит «логику игры» на реальный авторизованный сервис и может выполнить действие, которое должен был бы остановить.

Арифметическая ошибка здесь вторична. AI-браузер видит веб-страницу, рассуждает о ней и может действовать в браузере пользователя. Если в том же профиле открыты GitHub, почта, CRM или внутренний портал, prompt injection превращается из странного текста на странице в запрос к рабочему контексту.

LayerX опубликовала исследование 29 июня 2026 года. Ars Technica на следующий день вынесла из него простой вывод: AI-браузеры снова показывают, почему автономный браузер с доступом к авторизованным вкладкам нельзя считать обычным браузером с красивой боковой панелью.

Что такое BioShocking

BioShocking — техника атаки на AI-браузеры, при которой вредоносная страница заставляет агента принять ложный игровой контекст, а затем выполнить действие в реальном авторизованном сервисе. Название отсылает к BioShock и фразе «Would you kindly?»: в исследовании LayerX эта культурная отсылка превращена в тест на то, как агент реагирует на навязанную реальность.

В PoC агенту показывают страницу с задачей в стиле игры. Правильный по обычной логике ответ считается проигрышем, а неправильный — победой. Агент учится, что в этом окружении надо отказываться от нормальных правил. Затем игра просит перейти по адресу /code и скопировать данные из текстового поля.

Скриншот BioShocking PoC: игровая страница просит AI-браузер решить задачу 2 + 2 в ложном контексте
Стартовый экран BioShocking PoC: агенту предлагают игровую задачу, где «победа» требует отказаться от обычного ответа. Источник: LayerX, изображение проверено 30 июня 2026 года.

В контролируемой среде LayerX адрес /code перенаправлял агента в рабочий GitHub-репозиторий с тестовым файлом. Исследователи подчёркивают, что это был стенд с plaintext-файлом, а не реальная кража у пользователя. Но сама связка важна: в боевом сценарии похожий переход может вести в любую страницу, доступную в сессии пользователя, включая внутренние инструменты и открытые вкладки.

Почему AI-браузер опаснее обычного браузера

Обычный браузер показывает страницу человеку. AI-браузер добавляет слой интерпретации и действия: агент читает страницу, строит план, нажимает кнопки, переходит по ссылкам, копирует текст и может взаимодействовать с сайтами от имени пользователя. Поэтому уязвимость в контексте уже не ограничивается тем, что пользователь увидел подозрительный текст.

Ситуация Обычный браузер AI-браузер или агентный плагин
Страница содержит скрытую или игровую инструкцию Человек может её проигнорировать или заметить странность. Агент может принять инструкцию как часть задачи и встроить её в план действий.
Пользователь залогинен в GitHub, почте или CRM Сайт открыт, но действие обычно делает человек. Агент может перейти в авторизованный сервис и прочитать данные в рамках той же сессии.
Нужна проверка чувствительного действия Пользователь видит контекст перед копированием, отправкой или изменением. Если подтверждения нет, агент может выполнить шаг быстро и без нормальной паузы на сомнение.
Защита держится на системном prompt Prompt не участвует в обычной навигации. Системный prompt конкурирует с веб-контентом, историей задачи, памятью и текущим «сюжетом» страницы.

Это роднит BioShocking с более широким классом indirect prompt injection, но угол другой. В типичной атаке вредная инструкция говорит агенту сделать что-то запрещённое. Здесь агент сначала обучают неверной «физике» среды, а уже потом дают шаг, который выглядит продолжением игры. Поэтому обычная проверка «есть ли запрещённая команда в тексте» слабо помогает.

Соседний риск виден и в browser/computer use-сценариях. В материале про Gemini 3.5 Flash и computer use мы уже разбирали, почему агент, который умеет действовать в вебе, меняет модель угроз: он не просто отвечает, а выполняет операции в интерфейсе.

Как сработал PoC LayerX

По данным LayerX, исследователи проверили пять агентных браузеров и один браузерный плагин: ChatGPT Atlas, Perplexity Comet, Fellou, Genspark Browser, Sigma Browser и Claude Chrome plugin. В финальном шаге PoC все шесть не распознали копирование чувствительных данных как нарушение защитных правил.

Скриншот BioShocking PoC: AI-браузер открывает GitHub-репозиторий в тестовой среде и извлекает содержимое файла
В PoC игровая страница приводит агента в тестовый GitHub-репозиторий. В реальной среде таким же чувствительным контекстом могут быть почта, внутренний портал или CRM. Источник: LayerX, изображение проверено 30 июня 2026 года.

Оговорка важна: LayerX показала исследовательский сценарий, а не массовую эксплуатацию. По нему нельзя делать вывод, что «все AI-браузеры сломаны». Зато хорошо видно другое: чем больше прав получает агент, тем дороже ошибка контекста.

Кого проверили и что ответили вендоры

LayerX пишет, что уведомила всех вендоров. В таблице disclosure на странице исследования указаны такие статусы:

Продукт в PoC Организация в disclosure Статус по данным LayerX Дата отправки
ChatGPT Atlas OpenAI Fixed 2025-10-30
Comet Perplexity AI Closed / ignored 2025-10-20
Fellou Fellou / ASI X INC No response 2025-10-30
Genspark Browser Genspark No response 2025-10-30
Sigma Browser Sigmabrowser OÜ No response 2025-10-30
Claude Chrome plugin Anthropic Patch failed 2026-01-26

Эту таблицу стоит читать аккуратно. Она отражает disclosure-статусы LayerX, а не независимую сертификацию безопасности продуктов. Для читателя важнее другое: даже если один вендор закрыл конкретный PoC, класс риска остаётся. AI-браузер всё равно работает на стыке веб-контента, авторизованной сессии и автономного действия.

Почему guardrails не спасают полностью

Защитные правила модели обычно рассчитаны на то, что контекст задачи похож на реальность. Если пользователь просит «укради credentials», модель должна отказать. BioShocking обходит это через подмену контекста: агент больше не воспринимает шаг как кражу данных, потому что перед этим его втянули в игровую систему правил.

Отсюда неприятный вывод для разработчиков: нельзя полагаться только на общий системный prompt. Нужны отдельные проверки на уровне действия. Если агент собирается читать репозиторий, копировать секрет, отправлять письмо, менять пароль, запускать команду или открывать внутренний сервис, это должно быть событие с отдельным подтверждением и журналированием.

Похожая логика стоит за OpenAI Lockdown Mode: ограничение web/agent mode снижает риск, но не превращает агентную систему в безопасную по умолчанию. Защита должна знать не только текст запроса, но и то, к какому ресурсу агент идёт и какое действие собирается выполнить.

Что проверять компаниям

Если сотрудники уже ставят agentic browsers или браузерные AI-плагины, запретить всё одним письмом обычно не получится. Но можно быстро уменьшить радиус поражения.

  • Разведите профили: отдельный браузерный профиль для AI-агента, без доступа к рабочей почте, GitHub, password manager и внутренним системам по умолчанию.
  • Ограничьте scope агентной сессии: агент должен видеть только те сайты и вкладки, которые нужны для конкретной задачи.
  • Требуйте подтверждение для чтения и копирования чувствительных данных, не только для «опасных» операций вроде удаления или отправки формы.
  • Логируйте действия агента: переходы, чтение страниц, копирование текста, вызовы инструментов и попытки доступа к внутренним ресурсам.
  • Проверяйте продукты собственными сценариями, а не только демонстрациями вендора. Вредный веб-контент, авторизованные вкладки и tool calls должны попадать в тесты.
  • Не храните секреты в местах, куда агент может попасть через обычную навигацию. Это звучит банально, но PoC LayerX как раз показывает, почему банальное становится критичным.

Для формальной проверки пригодна рамка из RIFT-Bench: смотреть не только финальный ответ модели, а trace агентной системы — какие ресурсы она открыла, какие инструменты вызвала, где изменила состояние и как повела себя после вредного контекста.

FAQ по BioShocking и безопасности AI-браузеров

BioShocking — это обычный prompt injection?

Нет, это более узкий сценарий внутри класса prompt injection. Атакующая страница сначала создаёт ложный игровой контекст, а затем заставляет AI-браузер применить его к реальному авторизованному ресурсу.

Можно ли по этому PoC сказать, что AI-браузерами нельзя пользоваться?

Такой вывод был бы слишком широким. PoC показывает, что AI-браузеры надо считать привилегированным софтом: им нельзя давать полный доступ к рабочему браузерному профилю без ограничений, подтверждений и логов.

Что должен сделать обычный пользователь?

Минимум — не запускать агентный браузер в профиле, где открыты почта, GitHub, банк, парольный менеджер или рабочие сервисы. Для AI-сессий лучше использовать отдельный профиль с минимальным набором авторизаций.

Главное

BioShocking полезен как тревожный, но конкретный тест. Он показывает не «магический jailbreak», а инженерную проблему: AI-браузер действует внутри контекста, который может создать злоумышленник. Если агенту дать видимость, память и право действовать в авторизованном браузере, безопасность AI-браузеров перестаёт быть вопросом красивых отказов модели. Она становится вопросом прав доступа, подтверждений, изоляции и наблюдаемости каждого действия.

Читайте также: Gemini 3.5 Flash и computer use, OpenAI Lockdown Mode, RIFT-Bench для безопасности AI-агентов.

Источники

Telegram-канал @toolarium