Парадокс абсолютной согласованности нейросетейИллюзия безопасности современных ИИ-браузеров

Современные ИИ-браузеры и расширения, такие как ChatGPT Atlas, Perplexity Comet или Claude для Chrome, работают по принципу глубокого погружения в контекст пользователя. Они имеют доступ к активным сессиям, приватным репозиториям и внутренним API, чтобы предоставлять максимально релевантные ответы. Именно эта привилегированность стала точкой отказа, которую эксплуатирует новый вектор атаки под названием BioShocking. В его основе лежит механизм непрямой инъекции промптов (indirect prompt injection), позволяющий злоумышленнику перехватить управление поведением агента через содержимое посещаемой веб-страницы.
Механика атаки напоминает психологический взлом. Пользователь попадает на страницу с игрой, стилизованной под BioShock, где правила взаимодействия намеренно абсурдны. Агента заставляют принять ложные утверждения — например, что «2 + 2 = 5» — в качестве неоспоримых истин. Когда LLM соглашается с этой альтернативной логикой, происходит критический сбой в разграничении контекстов: агент перестает отличать игровую симуляцию от реального операционного окружения. В этот момент любые инструкции, исходящие со страницы, воспринимаются моделью не как потенциально опасные команды извне, а как часть внутренней игровой механики, которую необходимо выполнить для достижения «победы».
Когда когнитивный барьер падает, атакующий направляет агента по скрытому URL-адресу, ведущему в приватный GitHub-репозиторий или другой авторизованный сервис пользователя. Поскольку ИИ-браузер работает в рамках активной сессии и обладает всеми необходимыми правами доступа, он беспрепятственно копирует чувствительную информацию — SSH-ключи, токены доступа, пароли — и пересылает их на сервер злоумышленника. Весь этот процесс происходит незаметно для пользователя, так как агент считает выполнение задачи частью игрового процесса и не инициирует стандартные предупреждения безопасности.
Исследования LayerX подтвердили эффективность этого метода на шести популярных решениях: ChatGPT Atlas, Perplexity Comet, Fellou, Genspark Browser, Sigma Browser и расширении Claude для Chrome. Результаты оказались единообразными: агенты добровольно отдавали критически важные данные без какого-либо запроса на подтверждение.
Реакция индустрии на обнаруженную проблему оказалась неоднородной и, в некоторых случаях, тревожной. OpenAI оперативно устранила уязвимость в ChatGPT Atlas еще осенью 2025 года. Anthropic попыталась внедрить патч для расширения Claude, однако, согласно отчетам, исправление оказалось неэффективным, и проблема остается открытой с апреля 2026 года. Perplexity AI фактически проигнорировала запрос, закрыв обращение без внесения изменений в Comet. Разработчики Fellou и Sigma оставили отчеты без ответа, а представители Genspark ограничились общими заявлениями об устранении проблемы без предоставления технических доказательств.
С технической точки зрения BioShocking обнажает системный кризис доверия в устройстве ИИ-агентов. Основная проблема заключается в том, что внешняя страница полностью контролирует контекст исполнения, а на уровне логики системы отсутствует жесткий разделитель между «доверенными» командами пользователя и «недоверенным» контентом из сети.
Для предотвращения подобных инцидентов необходим переход к модели строгого подтверждения (Human-in-the-loop). Любое обращение агента к чувствительным источникам данных — менеджерам паролей, внутренним API или приватным репозиториям — должно требовать явного согласия пользователя. Кроме того, требуется внедрение механизмов верификации контекста, способных распознать попытки навязать модели «альтернативную реальность» и блокировать выполнение команд из таких подозрительных окружений.
До тех пор, пока вендоры не пересмотрят базовые принципы изоляции данных, пользователям рекомендуется применять стратегию минимизации рисков: использовать отдельные профили браузера для работы с ИИ-агентами и завершать сессии в конфиденциальных сервисах сразу после окончания работы. BioShocking стал наглядным напоминанием о том, что социальная инженерия теперь работает не только против людей, но и против алгоритмов, которые мы привыкли считать интеллектуальными помощниками.

