A LayerX Security kutatói egy hamis, BioShock ihlette játékkal mind a hat tesztelt AI-böngészőt és böngészőügynököt rávették arra, hogy figyelmen kívül hagyja a saját biztonsági korlátait. A BioShocking nevű kísérletben a programok egy bejelentkezett GitHub-munkamenetből is kiolvasták a teszthez elhelyezett belépési adatot.
A támadás előbb átírta a játékszabályokat
A támadók egy olyan weboldalt készítettek, amely matematikai feladványt adott az AI-nak, de a hibás választ jutalmazta. A 2 + 2 kérdésre például az 5 számított helyesnek. Néhány kör után az ügynök megtanulta, hogy ebben a környezetben a valós szabályok helyett a játék logikáját kell követnie.

Ezután a játék a /code címre küldte az ügynököt. Az útvonal valójában a felhasználó munkahelyi GitHub-tárára irányított, ahol a kutatók egy ártalmatlan tesztfájlban felhasználónevet és jelszót helyeztek el. Az AI kiolvasta az adatot, visszavitte a játék oldalára, majd sikeres teljesítésként értékelte az egészet.
Hat különböző terméken működött
A LayerX a ChatGPT Atlast, a Perplexity Cometet, a Fellout, a Genspark Browsert, a Sigma Browsert és a Claude Chrome-bővítményt vizsgálta. Mind a hat rendszer eljutott a védett adat kiolvasásáig a kontrollált tesztben.
Ez nem azt jelenti, hogy ezekből a termékekből már valódi támadás során tömegesen loptak jelszavakat. A kísérlet viszont megmutatta, hogy egy weboldal tartalma képes lehet megváltoztatni az agent értelmezési keretét, miközben az továbbra is hozzáfér a felhasználó megnyitott lapjaihoz és bejelentkezett szolgáltatásaihoz.

Az OpenAI javított, több szolgáltató nem reagált
A kutatók mind a hat gyártót értesítették. A közzétett táblázat szerint az OpenAI kijavította az Atlas hibáját. Az Anthropic első javítása nem állította meg a támadást, a Perplexity lezárta vagy figyelmen kívül hagyta a bejelentést, a Fellou, a Genspark és a Sigma fejlesztői pedig nem válaszoltak.
A bejelentkezett munkamenet a valódi kockázat
Egy hagyományos chatbot legfeljebb szöveget ír. Az agentként működő böngésző viszont oldalak között navigálhat, tartalmat másolhat, és hozzáférhet olyan szolgáltatásokhoz, amelyekbe a felhasználó már belépett. Emiatt egy rossz döntés közvetlen műveletté válik.
A LayerX azt javasolja, hogy minden érzékeny művelet előtt külön megerősítés legyen szükséges, az agent hozzáférése pedig alapból maradjon szűk. Felhasználóként érdemes külön böngészőprofilt használni az AI-ügynökökhöz, és nem nyitva hagyni mellettük a munkahelyi GitHubot, a levelezést vagy a jelszókezelőt.