A LayerX Security kutatói egy hamis, BioShock ihlette játékkal mind a hat tesztelt AI-böngészőt és böngészőügynököt rávették arra, hogy figyelmen kívül hagyja a saját biztonsági korlátait. A BioShocking nevű kísérletben a programok egy bejelentkezett GitHub-munkamenetből is kiolvasták a teszthez elhelyezett belépési adatot.

// ai/mi · 2026.05.18 A NIST szerint az AI-agentek teljesen új biztonsági kockázatokat hoznak Az amerikai NIST (National Institute of Standards and Technology) közzétette annak az iparági konzultációnak az összegzését, amelyben vállalatok, kutatók és biztonsági szakértők mondhatták el véleményüket… olvasás →

A támadás előbb átírta a játékszabályokat

A támadók egy olyan weboldalt készítettek, amely matematikai feladványt adott az AI-nak, de a hibás választ jutalmazta. A 2 + 2 kérdésre például az 5 számított helyesnek. Néhány kör után az ügynök megtanulta, hogy ebben a környezetben a valós szabályok helyett a játék logikáját kell követnie.

A BioShocking teszt hibás választ jutalmazó matematikai feladványa
A játék arra tanította az AI-t, hogy a valósággal ellentétes válasz viszi közelebb a győzelemhez. Forrás: LayerX Security

Ezután a játék a /code címre küldte az ügynököt. Az útvonal valójában a felhasználó munkahelyi GitHub-tárára irányított, ahol a kutatók egy ártalmatlan tesztfájlban felhasználónevet és jelszót helyeztek el. Az AI kiolvasta az adatot, visszavitte a játék oldalára, majd sikeres teljesítésként értékelte az egészet.

Hat különböző terméken működött

A LayerX a ChatGPT Atlast, a Perplexity Cometet, a Fellout, a Genspark Browsert, a Sigma Browsert és a Claude Chrome-bővítményt vizsgálta. Mind a hat rendszer eljutott a védett adat kiolvasásáig a kontrollált tesztben.

Ez nem azt jelenti, hogy ezekből a termékekből már valódi támadás során tömegesen loptak jelszavakat. A kísérlet viszont megmutatta, hogy egy weboldal tartalma képes lehet megváltoztatni az agent értelmezési keretét, miközben az továbbra is hozzáfér a felhasználó megnyitott lapjaihoz és bejelentkezett szolgáltatásaihoz.

A BioShocking teszt győzelmi üzenete
Az AI-böngésző győzelemként értelmezte a biztonsági szabály megszegését. Forrás: LayerX Security

Az OpenAI javított, több szolgáltató nem reagált

A kutatók mind a hat gyártót értesítették. A közzétett táblázat szerint az OpenAI kijavította az Atlas hibáját. Az Anthropic első javítása nem állította meg a támadást, a Perplexity lezárta vagy figyelmen kívül hagyta a bejelentést, a Fellou, a Genspark és a Sigma fejlesztői pedig nem válaszoltak.

A bejelentkezett munkamenet a valódi kockázat

Egy hagyományos chatbot legfeljebb szöveget ír. Az agentként működő böngésző viszont oldalak között navigálhat, tartalmat másolhat, és hozzáférhet olyan szolgáltatásokhoz, amelyekbe a felhasználó már belépett. Emiatt egy rossz döntés közvetlen műveletté válik.

A LayerX azt javasolja, hogy minden érzékeny művelet előtt külön megerősítés legyen szükséges, az agent hozzáférése pedig alapból maradjon szűk. Felhasználóként érdemes külön böngészőprofilt használni az AI-ügynökökhöz, és nem nyitva hagyni mellettük a munkahelyi GitHubot, a levelezést vagy a jelszókezelőt.