1 час назад
Как убедить ИИ-браузер, что 2+2=5 и украсть SSH-ключи
LayerX обнаружили свежий вектор атаки на ИИ-браузеры, получивший название BioShocking. Эксплойт использует непрямую инъекцию промптов (indirect prompt injection), чтобы подменить контекст, в котором действует агент, и заставить его добровольно передать злоумышленнику чувствительные информация из активных сессий пользователя.
Уязвимость протестирована на шести популярных решениях: ChatGPT Atlas, Perplexity Comet, Fellou, Genspark Browser, Sigma Browser и плагин Claude для Chrome. Во всех случаях агенты беспрепятственно копировали содержимое файлов (в тестах — SSH-ключи) и отправляли их на хост атакующего, не запрашивая подтверждения.
Как это работает
Пользователь переходит на вредоносную страницу с игрой-головоломкой в стилистике BioShock. Правила игры построены так, что ИИ-браузер вынужден признавать абсурдные утверждения (в частности, «2 + 2 = 5») в качестве корректных. После того как агент принимает эту альтернативную логику, он перестаёт различать игровую среду и реальность — все дальнейшие действия интерпретируются как часть игры, а не как потенциально опасные операции.
На финальном этапе страница отдаёт агенту команду перейти по скрытому URL, который ведёт в закрытый или корпоративный GitHub-репозиторий пользователя. Поскольку ИИ-браузер работает локально и имеет доступ ко всем авторизованным сессиям, он копирует содержимое репозитория (включая пароли, токены, ключи) и передаёт его наружу. Агент воспринимает это как «победу» и не применяет обычные политики безопасности.
Корневая проблема — в том, что контекст, в котором исполняется агент, целиком контролируется внешней страницей, а разделение между «реальными» и «игровыми» правилами отсутствует на уровне архитектуры.
Реакция вендоров
OpenAI устранила уязвимость в ChatGPT Atlas уже осенью 2025-го. Anthropic попыталась выпустить патч для расширения Claude, но исправление не сработало — отчёт остаётся открытым с апреля 2026 года. Perplexity AI закрыла обращение без каких-либо изменений в Comet. Fellou, Genspark и Sigma вообще не ответили на отчёты; позже представитель Genspark в комментарии для SC Media заявил, что задача устранена, однако официального подтверждения нет.
Разработчикам ИИ-браузеров LayerX рекомендует внедрить обязательный запрос подтверждения пользователя перед любым обращением к чувствительным источникам данных (GitHub, менеджеры паролей, внутренние программный интерфейс). Равным образом необходима более жёсткая проверка контекста: агент должен уметь распознавать попытки навязать ему «альтернативную реальность» и блокировать выполнение команд из таких окружений.
Для пользователей — ограничивайте область действий агента, не оставляйте сессии активными после работы с конфиденциальными сервисами и по возможности используйте отдельные профили браузера для задач, где ИИ-браузер имеет доступ к критичным данным.
Атака BioShocking показывает, что даже современные LLM-агенты, работающие в браузере, остаются уязвимы к социальной инженерии на уровне промпта — и эта проблема лежит не в модели, а в архитектуре доверия к внешнему контенту.
Читают сейчас

30 минут назад
Рой тараканов с дистанционным управлением сможет дышать под водой
Рои киборгов-насекомых, дистанционно управляемых с помощью электрических имплантатов, теперь могут действовать под водой благодаря крошечным водолазным костюмам, снабжающим их кислородом. Однажды это

52 минуты назад
Вышло апдейт открытой легковесной утилиты для проверки целостности файлов Precizer 0.16.0
В начале июня 2026 года вышло обновление открытого проекта Precizer 0.16.0. Это консольная утилита, предназначенная для проверки целостности больших деревьев файлов и выявления расхождений после синхр

53 минуты назад
Valve выпустила инициатива по созданию и настройке лицевой панели Steam Machine на основе электронных чернил
Valve опубликовала полные CAD-файлы, спецификации, список материалов и видеоинструкцию по изготовлению лицевой панели Inkterface на основе электронных чернил для компактного компьютера Steam Machine.
57 минут назад
В Toyota с помощью ИИ унифицируют терминологию в документации
Toyota Motor ищет возможности для дальнейшей оптимизации бизнес-процессов внутри компании с использованием искусственного интеллекта. Специалисты подсчитали, что только благодаря унификации терминолог
1 час назад
«Авито» запустит ИИ-сервис «ХвостРадар» для поиска пропавших домашних животных
Площадка «Авито» объявила о запуске бесплатного сервиса «ХвостРадар», который позволит искать пропавших домашних животных с помощью искусственного интеллекта. Он заработает 6 июля. Ознакомиться далее