Przeglądarki i agenci oparte na sztucznej inteligencji mają za zadanie ułatwić wykonywanie żmudnych zadań w sieci. Potrafią streszczać treści stron, pobierać dane z kont użytkownika, a nawet pełnić rolę inteligentnego asystenta, który klika i wpisuje tekst za użytkownika. Jednak najnowsze badania pokazują, że gdy asystenci ci tracą orientację w tym, co jest rzeczywistością, a co tylko grą, dane logowania i poufne informacje użytkownika mogą stać się ofiarami ubocznymi.
Cechą charakterystyczną każdego rodzaju ataku jest obejście jednej z podstawowych zasad:
„Modele językowe dużej skali (LLM) są wyposażone w zabezpieczenia, których celem jest zapobieganie szkodliwym działaniom”.
Badacz Roy Paz opracował i ujawnił atak, który nazwał „BioShocking” – technikę polegającą na przekonaniu przeglądarek opartych na sztucznej inteligencji do rezygnacji z mechanizmów zabezpieczających poprzez przedstawienie im fikcyjnego scenariusza jako rzeczywistości.
W ten sposób BioShocking plasuje się na styku technik wstrzykiwania poleceń i manipulacji celami. Wstrzykiwanie poleceń działa, ponieważ modele sztucznej inteligencji nie potrafią odróżnić instrukcji aplikacji od instrukcji atakującego, przez co czasami wykonują te niewłaściwe. Ataki polegające na manipulacji celami subtelnie zmieniają to, co agent uważa za cel optymalizacji, przekształcając „pomoc użytkownikowi” w „wygranie gry za wszelką cenę”.
W demonstracji koncepcyjnej „BioShocking” osoba atakująca kontroluje pozornie nieszkodliwą stronę internetową nawiązującą do uniwersum gry BioShock. Strona zawiera zagadkę, którą agent AI, działający jako autonomiczna przeglądarka, ma rozwiązać w imieniu użytkownika. Ale tu pojawia się zwrot akcji: zagadka nagradza błędne odpowiedzi i wyraźnie informuje agenta, że jest to specjalne środowisko, w którym nie obowiązują zwykłe zasady.
Ostatni etap zagadki nakazuje agentowi odwiedzić repozytorium GitHub, odnaleźć w kodzie dane wrażliwe, takie jak hasła lub dane uwierzytelniające, i udostępnić je w ramach ukończenia gry. W testach przeprowadzonych z udziałem sześciu popularnych przeglądarek i wtyczek opartych na sztucznej inteligencji — ChatGPT Atlas, Comet, Fellou, Genspark Browser, Sigma Browser oraz Chrome Claude Chrome — każdy agent wykonał polecenie, zamiast odmówić wykonania zadania.
W ten sposób, zanurzając agenta AI w fikcyjnej rzeczywistości, atakujący przekonał go do przekroczenia wyznaczonych granic.
BioShocking nie jest odosobnionym zjawiskiem. To kolejny przykład rosnącej liczby ataków, których celem są same agenty sztucznej inteligencji. Niedawne badanie dotyczące agenta poczty elektronicznej opartego na sztucznej inteligencji firmy OpenClaw wykazało, że za pomocą podstawowych taktyk phishingowych udało się nakłonić agenta do ujawnienia danych uwierzytelniających do AWS oraz danych klientów.
Oczywiście wspólnym słabym punktem jest sposób, w jaki przeglądarki te radzą sobie z kontekstami uwierzytelnionymi. Kiedy przeglądarka oparta na sztucznej inteligencji działa w „trybie agenta”, często przejmuje stan zalogowania użytkownika na wrażliwych platformach, takich jak poczta elektroniczna, repozytoria kodu, pulpity nawigacyjne w chmurze, menedżery haseł i tak dalej. Z punktu widzenia modelu sztucznej inteligencji są to po prostu kolejne strony do odczytania i kolejne pola do skopiowania. Nie mają dla niego żadnego szczególnego znaczenia.
Jeśli z kontekstu wynika, że skopiowanie danych uwierzytelniających stanowi część nieszkodliwego wyzwania, wiele obecnych implementacji to zaakceptuje.
Niepokojąca jest reakcja – a raczej jej brak – ze strony dostawców. W październiku 2025 roku firma Paz zgłosiła problem „BioShocking” sześciu dostawcom, których dotyczyła ta luka. Zgodnie z raportem trzech z nich nie udzieliło odpowiedzi, a jedynie ChatGPT Atlas firmy OpenAI wdrożył obecnie poprawkę blokującą atak typu „proof-of-concept”. Firma Anthropic podjęła próbę załatania swojej Chrome Claude Chrome , ale według doniesień to zabezpieczenie nadal okazuje się nieskuteczne w obliczu tego scenariusza ataku. Firma Perplexity AI, w momencie sporządzenia raportu, zamknęła zgłoszenie bez wprowadzenia żadnych środków zaradczych.
Nie tylko informujemy o zagrożeniach - my je usuwamy
Zagrożenia cyberbezpieczeństwa nigdy nie powinny wykraczać poza nagłówek. Chroń swoje urządzenia przed zagrożeniami, pobierając Malwarebytes już dziś.




