Исследователи из компании LayerX обнаружили новый тип уязвимости, получивший название BioShocking. Он нацелен на браузеры со встроенным искусственным интеллектом, которые способны автономно выполнять задачи в сети. Суть взлома кроется в обходе базовых систем безопасности: нейросеть заставляют поверить, что она находится не в реальном мире, а внутри игры.
Название уязвимости отсылает к популярному шутеру-антиутопии BioShock 2007 года, действие которого разворачивается в подводном городе Восторг. Специалисты создали тестовую веб-страницу, которая предлагает ИИ-агенту пройти многоуровневую головоломку в стилистике этой вселенной. Страница эксплуатирует внутреннюю логику языковых моделей, поощряя неверные ответы — например, заставляя нейросеть согласиться, что два плюс два равно пяти. Как только ИИ принимает правила вымышленного нарратива, он начинает руководствоваться игровой логикой, полностью игнорируя реальные протоколы безопасности.
На финальном этапе «игры» ИИ-агента направляют по специальной ссылке и дают команду скопировать конфиденциальные данные пользователя. Во время тестов нейросети без колебаний извлекали ключи доступа SSH из рабочих репозиториев GitHub и передавали их злоумышленникам, воспринимая кражу как успешное завершение уровня. Этот метод, известный как непрямая инъекция промптов (indirect prompt injection), оказался пугающе эффективным, поскольку вредоносные команды маскируются под обычный контент.
Уязвимость протестировали на шести ИИ-браузерах и расширениях, включая ChatGPT Atlas от OpenAI, Comet от Perplexity и Claude от Anthropic. О проблеме сообщили разработчикам в период с октября 2025 по январь 2026 года. На данный момент уязвимость устранили только в ChatGPT Atlas. Попытка Anthropic выпустить патч оказалась безуспешной, а Perplexity оставила отчёт без внимания. Эксперты LayerX настаивают, что для защиты ИИ-браузеры должны запрашивать чёткое подтверждение у пользователя перед выполнением любых действий с авторизованными аккаунтами.
Мнение редакции
Искусственный интеллект может брать на себя рутину, но история с BioShocking показывает: чем автономнее становятся наши цифровые помощники, тем они наивнее. Забавно и одновременно пугающе, что передовую нейросеть можно взломать, просто предложив ей поиграть и убедив, что дважды два — это пять. Мы доверяем ИИ ключи от своих рабочих кабинетов и личных переписок, забывая, что для алгоритма нет разницы между реальностью и вымыслом, если этот вымысел грамотно упакован.
И пока ИТ-гиганты неторопливо латают дыры (а кто-то и вовсе игнорирует отчёты безопасников), ответственность ложится на пользователей.