一种新披露的名为 BioShocking 的攻击技术展示了如何操纵人工智能驱动的浏览器来泄露用户登录的网络会话中的凭据和其他敏感数据。
LayerX 的安全研究人员表示,这种攻击的原理是让人工智能浏览器相信它是在虚构的游戏环境中运行。一旦浏览器代理接受该错误上下文,它可能会忽略正常的安全限制并遵循有害的指令。
这LayerX 研究针对六种工具测试了该技术:ChatGPT Atlas、Perplexity Comet、Fellou、Genspark Browser、Sigma Browser 和 Claude Chrome 插件。
什么是生化奇兵攻击?
BioShocking 是一种针对代理 AI 浏览器的即时注入攻击。这些工具可以代表用户读取网页、单击按钮、导航站点以及与内容交互。
这种功能使它们对于研究、购物、表格填写和工作自动化很有用。当代理可以访问与用户相同的经过身份验证的浏览器会话时,也会产生风险。
该攻击名称来自《生化奇兵》视频游戏,其中的角色可以通过对现实的错误感知来操纵。在这种情况下,攻击者重塑人工智能浏览器的上下文,以便代理将危险行为视为无害游戏的一部分。
| 攻击阶段 | 会发生什么 | 安全风险 |
|---|---|---|
| 恶意页面 | 用户打开包含游戏或谜题的页面 | 浏览器代理读取攻击者控制的指令 |
| 错误的上下文 | 游戏奖励不正确或不切实际的答案 | 代理开始接受页面更改后的规则 |
| 重定向 | 代理被告知访问另一条路径或资源 | 该请求可以指向登录帐户或内部工具 |
| 数据泄露 | 代理复制敏感信息并共享 | 凭证或私人代码可以离开用户的会话 |
攻击如何欺骗人工智能浏览器
LayerX 通过一个以简单数学问题开始的谜题演示了攻击。 AI浏览器首先正常回答,但游戏会奖励错误回答,例如将2 + 2视为5。
当代理适应了游戏的错误逻辑后,页面会向其发出另一条指令。代理被告知导航到路径并从框中复制文本。
根据黑客新闻,危险的部分是该路径可以将代理重定向到经过身份验证的资源,例如工作 GitHub 存储库,它可以在同一浏览器会话期间检索凭据。
该演示使用受控环境
LayerX 表示,其测试在受控环境中使用了纯文本文件。该细节很重要,因为该披露并未描述窃取真实用户凭据的主动攻击活动。
然而,风险仍然严重。在真正的攻击中,相同的模式可能会针对浏览器会话可以访问的打开选项卡、私有存储库、内部仪表板、电子邮件帐户或密码管理器。
该问题属于 OWASP 追踪的更广泛的类别及时注射。 OWASP 将提示注入描述为一种通过可以绕过安全措施的输入来操纵模型行为的方法。
- 攻击不需要直接破坏目标网站。
- 它滥用了人工智能代理对页面内容的解释。
- 当代理有权访问登录会话时,它可能会变得更加危险。
- 它说明了为什么浏览器代理需要更严格的权限边界。
测试了哪些AI浏览器?
这LayerX 报告表示概念验证适用于五种代理浏览器和一种代理插件。该公司表示,所有供应商均已收到通知。
LayerX 将 OpenAI 的 ChatGPT Atlas 列为已修复。它将 Perplexity Comet 列为已关闭或被忽略,而 Fellou、Genspark Browser 和 Sigma Browser 则被标记为没有响应。
同一个供应商披露表将 Claude Chrome 插件列为“补丁失败”。这些状态反映了 LayerX 对协调披露流程的描述,应被视为研究人员的供应商响应声明。
| 小贩 | 工具 | LayerX 列出状态 |
|---|---|---|
| 开放人工智能 | ChatGPT Atlas | 固定的 |
| 困惑人工智能 | 彗星 | 关闭或被忽略 |
| 费卢 / ASI X INC | 费卢 | 没有回应 |
| 根斯帕克 | Genspark浏览器 | 没有回应 |
| Sigmabrowser OÜ | 西格玛浏览器 | 没有回应 |
| 人择 | 克劳德 Chrome 插件 | 补丁失败 |
为什么代理浏览器会增加风险
传统浏览器主要在浏览器安全边界内显示网页内容并运行站点代码。 AI 浏览器添加了一个新层,因为代理可以解释指令、做出决策并跨页面采取操作。
这改变了威胁模型。恶意网页不仅仅试图欺骗用户。它可以尝试欺骗用户的人工智能助手点击、复制、提交或导航到敏感的地方。

英国国家网络安全中心警告说,法学硕士不会在提示内的指令和数据之间强制执行干净的安全边界。其指导及时注射解释了为什么这些攻击与旧的网络安全漏洞不同。
为什么护栏在演示中失败
人工智能系统使用安全规则来拒绝有害请求,包括窃取凭证或访问私人数据的请求。 BioShocking 通过更改请求周围的上下文来攻击这些规则。
恶意页面不是直接要求代理窃取信息,而是构建了一个类似游戏的环境,在该环境中,代理了解到正常的答案是错误的,并且不寻常的行为会受到奖励。
这与核心风险相匹配OWASP LLM01 指导:恶意输入可以改变模型行为并导致系统忽略预期的限制。
攻击者可能瞄准什么
《生化奇兵》很重要,因为人工智能浏览器通常在用户保持登录工作和个人帐户的情况下运行。如果代理可以看到某个页面,它也可以从中读取或复制信息。
LayerX 表示,真正的攻击可能会将浏览器代理指向打开的选项卡、经过身份验证的存储库、内部工具或用户会话中可用的其他资源。这使得这种攻击对于使用人工智能浏览器工作的开发人员、安全团队和员工尤其重要。
跟进安全覆盖范围还强调,当助手可以访问登录帐户时,攻击会将代理模式转变为数据泄露路径。
- 私有 GitHub 存储库
- 内部仪表板
- 电子邮件收件箱
- 云存储门户
- 密码管理器
- CRM 和客户支持系统
- 开发人员工具和管理控制台
供应商如何降低风险
LayerX 建议在 AI 浏览器从经过身份验证的服务读取敏感数据之前进行明确确认。例如,代理应该在从私有存储库复制之前停下来询问。
供应商还需要更好的上下文检查。如果页面告诉代理正常的安全规则不再适用,则浏览器应将其视为可疑指令而不是有效的任务规则。

这NCSC 警告支持深度防御方法,因为提示注入不能像简单的输入验证错误一样处理。人工智能代理需要访问限制、监控、用户提示和更安全的默认设置。
| 防御 | 它有什么帮助 |
|---|---|
| 用户确认 | 在读取或复制敏感数据之前停止代理 |
| 权限范围 | 限制代理可以访问的站点、选项卡和帐户 |
| 上下文验证 | 告诉代理忽略现实世界规则的标记页面 |
| 会话隔离 | 将代理浏览与敏感的登录帐户分开 |
| 企业监控 | 帮助安全团队检测异常的自动访问 |
用户和企业现在应该做什么
用户应避免在也包含敏感帐户的会话中运行 AI 浏览器代理。在使用代理模式之前注销工作工具、密码管理器和管理仪表板可以减少暴露。
公司应该像对待具有特权访问权限的软件一样对待人工智能浏览器。如果员工使用它们进行工作,安全团队应定义允许使用哪些工具、可以访问哪些站点以及不得读取或复制哪些数据。
最安全的方法是为浏览器代理提供任务所需的最窄访问权限。玩网络谜题的人工智能助手不需要权限来打开私人存储库、阅读电子邮件或与内部系统交互。
- 对 AI 浏览和敏感工作帐户使用单独的浏览器配置文件。
- 不需要时禁用代理模式。
- 不要要求人工智能浏览器与未知或不受信任的页面交互。
- 在使用代理浏览之前注销密码管理器和内部工具。
- 查看企业环境中的浏览器代理活动。
- 培训员工将人工智能代理视为主动参与者,而不是被动的搜索工具。
更大的安全教训
BioShocking 表明 AI 浏览器安全不能仅依赖于模型护栏。一旦人工智能代理可以浏览、单击、复制和使用登录会话,攻击者就可以针对代理的判断而不是网站本身。
这次攻击还说明了为什么人工智能浏览器需要可见的权限提示。用户应该知道代理何时要访问私人帐户、复制敏感文本或从公共页面移动到经过身份验证的系统。
目前,实用建议很明确。人工智能浏览器可以节省时间,但它们不应该对用户浏览器会话中的每个帐户进行无限制的访问。将代理模式视为强大的自动化工具,并像对待任何可以代表您行事的工具一样谨慎对待它。
FAQ
什么是生化奇兵攻击?
BioShocking 是一种即时注入攻击,它会诱骗 AI 浏览器接受错误的上下文(例如游戏),因此它可能会忽略安全规则并执行复制凭据等敏感操作。
《生化奇兵》是否窃取了真实用户的凭据?
LayerX 将《生化奇兵》描述为受控环境中的概念验证演示。该演示使用纯文本文件,但相同的方法可以在实际攻击中针对登录帐户、私人存储库或内部工具。
哪些 AI 浏览器经过了 BioShocking 测试?
LayerX 表示,它测试了 ChatGPT Atlas、Perplexity Comet、Fellou、Genspark 浏览器、Sigma 浏览器和 Claude Chrome 插件。该公司表示,所有供应商均已收到通知。
用户如何降低《生化奇兵》的风险?
用户可以通过使用单独的浏览器配置文件、在使用代理模式之前注销敏感帐户、避免未知页面以及限制 AI 浏览器代理可以访问的内容来降低风险。
为什么 AI 浏览器容易受到 BioShocking 等攻击?
人工智能浏览器很容易受到攻击,因为代理系统会读取页面内容、解释指令并在用户的浏览器会话中执行操作。如果恶意页面更改了代理的上下文,代理可能会将有害指令视为合法任务的一部分。
