«BioShocking»: когда «манипулирование» ИИ-агентами перестает быть игрой

| 1 июля 2026 г.
bioshocking — единственный выход

Браузеры и агенты на базе искусственного интеллекта обещают избавить пользователей от рутинной работы в Интернете. Они могут составлять краткие сводки по страницам, извлекать данные из ваших учетных записей и даже выступать в роли умного помощника, который нажимает кнопки и вводит текст за вас. Однако новое исследование показывает, что когда эти помощники теряют представление о том, что является реальностью, а что — всего лишь игрой, ваши учетные данные и конфиденциальная информация могут стать побочным ущербом.

Особенность каждого типа атаки заключается в том, чтобы обойти одно из основных правил:

«Большие языковые модели (LLM) разработаны с учетом мер безопасности, призванных предотвращать опасные действия».

Исследователь Рой Паз разработал и описал метод атаки, который он назвал «BioShocking» — технику, позволяющую заставить браузеры на базе искусственного интеллекта отказаться от своих мер безопасности, представляя им вымышленный сценарий как реальность.

Таким образом, BioShocking находится на стыке двух подходов: внедрения подсказок и манипуляции целями. Внедрение подсказок работает потому, что модели ИИ не могут отличить инструкции приложения от инструкций злоумышленника, поэтому иногда следуют не тем указаниям. Атаки с манипуляцией целями незаметно изменяют то, что агент считает своей задачей оптимизации, превращая «помочь пользователю» в «выиграть игру любой ценой».

В концептуальном эксперименте «BioShocking» злоумышленник контролирует внешне безобидную веб-страницу, посвящённую вселенной игры BioShock. На странице представлена головоломка, которую агент ИИ, действующий в качестве автономного браузера, должен решить от имени пользователя. Но вот в чём загвоздка: головоломка поощряет неправильные ответы и прямо указывает агенту, что это особая среда, в которой не действуют обычные правила.

На последнем этапе головоломки агенту дается указание зайти в репозиторий GitHub, найти в коде конфиденциальные данные, такие как пароли или учетные данные, и предоставить их в рамках прохождения игры. В ходе тестирования с участием шести популярных браузеров и плагинов на базе ИИ — ChatGPT Atlas, Comet, Fellou, Genspark Browser, Sigma Browser и Chrome Claude Chrome — все агенты выполнили инструкции, а не отказались от запроса.

Таким образом, погрузив ИИ-агента в вымышленную реальность, злоумышленник убедил его выйти за пределы установленных ограничений.

«BioShocking» — это не единичное явление. Это ещё один пример растущего числа атак, в которых в качестве цели выступают сами ИИ-агенты. Недавнее исследование, посвящённое ИИ-агенту OpenClaw для работы с электронной почтой, показало, что с помощью простых фишинговых приёмов удалось обманом заставить агента раскрыть учетные данные AWS и записи о клиентах.

Очевидно, что общим слабым местом является то, как эти браузеры обрабатывают контексты, требующие аутентификации. Когда браузер с ИИ работает в «режиме агента», он часто наследует состояние авторизации пользователя на платформах, требующих повышенной безопасности, таких как электронная почта, репозитории кода, облачные панели управления, менеджеры паролей и т. д. С точки зрения модели ИИ это всего лишь очередная страница для чтения и дополнительные поля для копирования. Для нее они не имеют никакого особого значения.

Если из контекста следует, что копирование учетных данных является частью безобидного испытания, многие современные реализации будут это допускать.

Беспокойство вызывает реакция — или, вернее, её отсутствие — со стороны поставщиков. В октябре 2025 года компания Paz сообщила о проблеме «BioShocking» шести затронутым поставщикам. Согласно отчёту, трое из них не ответили, и только ChatGPT Atlas от OpenAI на данный момент реализовал исправление, блокирующее доказательство концепции. Компания Anthropic предприняла попытку исправить свой Chrome Claude Chrome , но, по имеющимся данным, это исправление по-прежнему неэффективно против данного сценария атаки. Компания Perplexity AI на момент публикации отчета закрыла заявку, не приняв никаких мер по устранению проблемы.


Мы не просто сообщаем об угрозах - мы их устраняем

Риски кибербезопасности не должны выходить за рамки заголовка. Загрузите Malwarebytes сегодня, чтобы предотвратить угрозы на своих устройствах.

Об авторе

Питер Арнтц

Исследователь в области вредоносного ПО

12 лет подряд был MVP Microsoft в области потребительской безопасности. Владеет четырьмя языками. Пахнет богатым красным деревом и книгами в кожаных переплетах.