ИИ-браузеры столкнулись с новой схемой атаки под названием BioShocking. Её описала компания LayerX, которая занимается кибербезопасностью.
Исследователи показали, как вредоносная веб-страница может заставить ИИ-агента нарушить собственные правила безопасности.
Схема выглядит почти как игра. Но в реальности она может привести к утечке паролей, cookie, токенов доступа и данных из авторизованных сервисов.
BioShocking — это атака на ИИ-агентов через подмену контекста.
Злоумышленник создаёт страницу с игровым сценарием. В этой «игре» обычные правила реального мира якобы не работают.
Например, ИИ-агенту предлагают принять, что 2+2 равно не 4, а 5.
Если агент соглашается с такой логикой, он начинает действовать по правилам игры, а не по правилам безопасности.
Название BioShocking отсылает к игре BioShock.
В ней герой оказывается под влиянием ложной реальности и выполняет команды через манипуляцию.
Схема LayerX работает похожим образом. ИИ-агенту постепенно навязывают альтернативные правила поведения.
После этого он может выполнять действия, которые в нормальном режиме должен был бы заблокировать.
В начале атаки ИИ-браузер видит простую математическую задачу.
Но страница объясняет: в рамках игры неправильные ответы считаются правильными.
Когда агент вводит «5» вместо «4» и получает положительное подтверждение, он начинает принимать новую логику.
Дальше злоумышленник использует этот сдвиг. Агент уже находится не в режиме обычной проверки безопасности, а в режиме «победы в игре».
После первого этапа агенту дают следующее задание.
Ему предлагают найти и скопировать «скрытый код» с другой страницы.
Но на практике под этим «кодом» могут скрываться реальные данные: пароли, SSH-логины, cookie, токены доступа или внутренние файлы.
В тестовой среде LayerX ссылка вела в рабочий GitHub-репозиторий жертвы. ИИ-агент скопировал оттуда SSH-логин и пароль.
Обычный фишинг рассчитан на человека.
Пользователь должен сам ввести пароль, перейти по ссылке или подтвердить подозрительное действие.
В случае с ИИ-агентом часть действий выполняет сам браузерный помощник.
Если он имеет доступ к открытым вкладкам, GitHub, почте, облачным сервисам или внутренним системам, злоумышленник может попытаться использовать именно этот доступ.
LayerX протестировала несколько ИИ-браузеров и браузерных агентов.
В список попали ChatGPT Atlas, Comet от Perplexity, Fellou, Genspark Browser, Sigma Browser и расширение Claude для Chrome.
По данным исследователей, все агенты в тесте скопировали чувствительные данные и отправили их условному злоумышленнику.
Особенно тревожно, что ИИ не воспринимал это как кражу. Он считал действие частью игры и «праздновал» успешное выполнение задания.
Главная проблема — смешение контекста.
ИИ-браузер читает страницу, инструкции пользователя и встроенные подсказки как единый поток информации.
Если вредоносная страница достаточно убедительно описывает «игровые правила», агент может начать следовать им.
Это разновидность непрямой prompt injection. Команды злоумышленника спрятаны не в прямом запросе пользователя, а в содержимом веб-страницы.
Обычный чат-бот в основном отвечает текстом.
Агентный браузер может действовать: открывать страницы, нажимать кнопки, копировать данные, заполнять формы и переходить по ссылкам.
Это делает его полезнее, но и опаснее.
Если агент получает неправильную инструкцию из вредоносной страницы, последствия могут выйти за рамки обычного ответа в чате.
В реальной атаке целью могут стать любые данные, к которым имеет доступ браузерная сессия.
Это могут быть репозитории GitHub, рабочая почта, CRM, облачные документы, внутренние панели, менеджеры паролей или сервисы разработки.
Если пользователь уже авторизован, агент может видеть больше, чем должен видеть обычный внешний сайт.
Именно это делает атаку особенно опасной для компаний.
LayerX сообщила о результатах тестирования компаниям с октября 2025 года по январь 2026 года.
По данным источника, OpenAI устранила уязвимость в ChatGPT Atlas.
Anthropic попыталась исправить проблему в расширении Claude для Chrome, но патч не сработал.
Perplexity закрыла обращение без внесения изменений.
Fellou, Genspark и Sigma, по данным LayerX, не ответили исследователям.
ИИ-браузеры становятся новым направлением конкуренции среди технологических компаний.
Идея проста: пользователь не просто ищет информацию, а поручает агенту выполнить задачу.
Но чем больше полномочий получает агент, тем выше требования к безопасности.
Если браузерный ИИ может действовать от имени пользователя, его нужно защищать не как обычный чат, а как полноценного цифрового помощника с доступом к аккаунтам.
BioShocking показывает не единичный сбой, а системную проблему агентных ИИ.
Модель может хорошо понимать текст, но плохо отделять команды пользователя от манипуляций внутри страницы.
Для человека очевидно, что «игра» не должна требовать украсть пароль.
Но ИИ-агент может принять это как формальную задачу, если контекст уже подменён.
Prompt injection — это атака, при которой злоумышленник подсовывает ИИ вредные инструкции.
Непрямая prompt injection особенно опасна.
Пользователь может не писать ничего вредного. Он просто просит агента открыть сайт или решить задачу.
А вредоносная инструкция уже находится на странице, которую агент читает и принимает как часть задания.
Разработчики ИИ давно пытаются строить guardrails — защитные ограничения.
Но агентные системы сложнее обычных чат-ботов.
Они работают с внешним интернетом, авторизованными сервисами, файлами, вкладками и действиями в браузере.
Поэтому защитить их одной инструкцией вроде «не раскрывай пароли» недостаточно.
LayerX советует разработчикам вводить обязательное подтверждение пользователя перед чувствительными операциями.
Например, если агент хочет прочитать данные из авторизованного GitHub, почты или менеджера паролей, человек должен отдельно подтвердить действие.
Также нужны проверки контекста.
Система должна распознавать фразы вроде «здесь правила не действуют» или «в этой игре безопасность не важна» как потенциально опасные.
Пользователям стоит осторожнее использовать ИИ-браузеры в авторизованных аккаунтах.
Если агент работает в той же сессии, где открыты GitHub, почта, облако или корпоративные панели, риск выше.
Лучше не давать ИИ-браузеру доступ к чувствительным рабочим ресурсам без необходимости.
Также стоит регулярно отзывать лишние разрешения и закрывать сессии, которые больше не нужны.
Для компаний ИИ-браузеры должны стать частью политики безопасности.
Нельзя рассматривать их как обычное расширение для удобства.
Если сотрудник использует агентный браузер, он фактически даёт ИИ доступ к части рабочего окружения.
Поэтому бизнесу нужны правила: где можно использовать ИИ-агентов, какие сайты им доступны и какие данные нельзя открывать в таких сессиях.
Первая мера — отдельный браузерный профиль для ИИ-агента.
В нём не должно быть доступа к критичным рабочим аккаунтам.
Вторая — минимальные права доступа.
Если агенту не нужен GitHub, почта или CRM, он не должен быть авторизован в этих сервисах.
Третья — ручное подтверждение любых операций с файлами, ключами, токенами и паролями.
Четвёртая — мониторинг действий ИИ-агентов в корпоративной среде.
GitHub и другие репозитории часто содержат код, конфигурации, ключи, внутреннюю документацию и технические секреты.
Даже один случай утечки SSH-данных может привести к серьёзным последствиям.
Злоумышленник может получить доступ к серверам, CI/CD, инфраструктуре или другим системам.
Поэтому агентный браузер с доступом к репозиториям — это зона повышенного риска.
На первый взгляд новость не связана напрямую с криптовалютами.
Но для криптоиндустрии риск особенно высокий.
Многие проекты используют GitHub, API-ключи, кошельки, админ-панели, мультисиги, DeFi-интерфейсы и облачную инфраструктуру.
Если ИИ-агент получит доступ к таким данным и будет обманут вредоносной страницей, последствия могут быть финансовыми.
В крипте ошибка доступа часто стоит денег.
Утечка приватного ключа, seed-фразы, API-токена или админ-доступа может привести к краже активов.
Даже если ИИ-браузер не видит приватные ключи напрямую, он может получить доступ к репозиториям, внутренним инструкциям, облачным сервисам или рабочим кабинетам.
Для криптокоманд это означает: ИИ-агенты не должны иметь свободный доступ к инфраструктуре проекта.
BioShocking не означает, что ИИ-браузеры бесполезны или их нужно полностью запретить.
Проблема в уровне доступа.
ИИ может помогать искать информацию, заполнять простые формы, делать анализ и автоматизировать рутину.
Но чем ближе агент к паролям, кошелькам, корпоративным данным и финансовым операциям, тем строже должен быть контроль.
Обычному пользователю важно помнить: ИИ-помощник не должен иметь доступ ко всему сразу.
Не стоит открывать через агентный браузер страницы с seed-фразами, приватными ключами, биржевыми API или важными рабочими аккаунтами.
Если ИИ просит скопировать «код», «секрет», «токен» или «ключ», нужно остановиться.
Такие слова в связке с неизвестной страницей — красный флаг.
Обычный браузер показывает сайт.
ИИ-браузер может понимать страницу, принимать решения и выполнять действия.
Это меняет модель угроз.
Если раньше опасность была в том, что пользователь сам нажмёт не туда, теперь опасность в том, что агент нажмёт не туда за пользователя.
Поэтому правила безопасности должны измениться вместе с инструментами.
Разработчикам ИИ-браузеров придётся усиливать защиту от непрямых prompt injection.
Вероятно, появятся более строгие подтверждения действий, изоляция вкладок, ограничения доступа к авторизованным сервисам и корпоративные политики контроля.
Также рынок будет следить, как быстро крупные разработчики исправляют такие уязвимости.
Если ИИ-агенты станут массовыми, атаки через подмену контекста могут стать регулярным инструментом киберпреступников.
BioShocking показала слабое место ИИ-браузеров: агент может принять вредоносный сценарий за игру и нарушить правила безопасности.
В тесте LayerX это привело к копированию чувствительных данных из GitHub-репозитория.
Главная угроза не в том, что ИИ ошибся в математике.
Главная угроза в том, что ИИ с доступом к аккаунтам может выполнить вредную команду, если злоумышленник правильно подменит контекст.
— Искусственный интеллект пришел на смену естественному?
— Нет, на смену его полного отсутствия.
еще раз — у ИИ нет детектора ошибок потому что он не связан с реальностью