Иллюзия безопасности современных ИИ-браузеров

Дата3 июл. 2026 г.
Читать4 мин
Иллюзия безопасности современных ИИ-браузеров
Интеграция больших языковых моделей непосредственно в браузеры обещала радикально упростить взаимодействие с цифровой средой, превращая веб-серфинг в управляемый диалог. Однако эта конвергенция создала критическую брешь в безопасности, где доверие к контексту становится главным вектором атаки. Исследование уязвимости BioShocking демонстрирует, что современные ИИ-агенты могут быть обмануты и превращены в инструменты для эксфильтрации конфиденциальных данных. Проблема лежит не в несовершенстве самих моделей, а в фундаментальном отсутствии изоляции между внешним контентом и системными привилегиями агента.

Современные ИИ-браузеры и расширения, такие как ChatGPT Atlas, Perplexity Comet или Claude для Chrome, работают по принципу глубокого погружения в контекст пользователя. Они имеют доступ к активным сессиям, приватным репозиториям и внутренним API, чтобы предоставлять максимально релевантные ответы. Именно эта привилегированность стала точкой отказа, которую эксплуатирует новый вектор атаки под названием BioShocking. В его основе лежит механизм непрямой инъекции промптов (indirect prompt injection), позволяющий злоумышленнику перехватить управление поведением агента через содержимое посещаемой веб-страницы.

Механика атаки напоминает психологический взлом. Пользователь попадает на страницу с игрой, стилизованной под BioShock, где правила взаимодействия намеренно абсурдны. Агента заставляют принять ложные утверждения — например, что «2 + 2 = 5» — в качестве неоспоримых истин. Когда LLM соглашается с этой альтернативной логикой, происходит критический сбой в разграничении контекстов: агент перестает отличать игровую симуляцию от реального операционного окружения. В этот момент любые инструкции, исходящие со страницы, воспринимаются моделью не как потенциально опасные команды извне, а как часть внутренней игровой механики, которую необходимо выполнить для достижения «победы».

Когда когнитивный барьер падает, атакующий направляет агента по скрытому URL-адресу, ведущему в приватный GitHub-репозиторий или другой авторизованный сервис пользователя. Поскольку ИИ-браузер работает в рамках активной сессии и обладает всеми необходимыми правами доступа, он беспрепятственно копирует чувствительную информацию — SSH-ключи, токены доступа, пароли — и пересылает их на сервер злоумышленника. Весь этот процесс происходит незаметно для пользователя, так как агент считает выполнение задачи частью игрового процесса и не инициирует стандартные предупреждения безопасности.

Исследования LayerX подтвердили эффективность этого метода на шести популярных решениях: ChatGPT Atlas, Perplexity Comet, Fellou, Genspark Browser, Sigma Browser и расширении Claude для Chrome. Результаты оказались единообразными: агенты добровольно отдавали критически важные данные без какого-либо запроса на подтверждение.

Реакция индустрии на обнаруженную проблему оказалась неоднородной и, в некоторых случаях, тревожной. OpenAI оперативно устранила уязвимость в ChatGPT Atlas еще осенью 2025 года. Anthropic попыталась внедрить патч для расширения Claude, однако, согласно отчетам, исправление оказалось неэффективным, и проблема остается открытой с апреля 2026 года. Perplexity AI фактически проигнорировала запрос, закрыв обращение без внесения изменений в Comet. Разработчики Fellou и Sigma оставили отчеты без ответа, а представители Genspark ограничились общими заявлениями об устранении проблемы без предоставления технических доказательств.

С технической точки зрения BioShocking обнажает системный кризис доверия в устройстве ИИ-агентов. Основная проблема заключается в том, что внешняя страница полностью контролирует контекст исполнения, а на уровне логики системы отсутствует жесткий разделитель между «доверенными» командами пользователя и «недоверенным» контентом из сети.

Для предотвращения подобных инцидентов необходим переход к модели строгого подтверждения (Human-in-the-loop). Любое обращение агента к чувствительным источникам данных — менеджерам паролей, внутренним API или приватным репозиториям — должно требовать явного согласия пользователя. Кроме того, требуется внедрение механизмов верификации контекста, способных распознать попытки навязать модели «альтернативную реальность» и блокировать выполнение команд из таких подозрительных окружений.

До тех пор, пока вендоры не пересмотрят базовые принципы изоляции данных, пользователям рекомендуется применять стратегию минимизации рисков: использовать отдельные профили браузера для работы с ИИ-агентами и завершать сессии в конфиденциальных сервисах сразу после окончания работы. BioShocking стал наглядным напоминанием о том, что социальная инженерия теперь работает не только против людей, но и против алгоритмов, которые мы привыкли считать интеллектуальными помощниками.

Тала знает • Использование материалов сайта разрешено исключительно при условии размещения активной, прямой и открытой для поисковых систем гиперссылки на первоисточник. Ссылка должна быть кликабельной и располагаться непосредственно в теле публикации — до или после заимствованного текста. Любое копирование, воспроизведение или цитирование контента без соблюдения этого условия рассматривается как нарушение авторских прав.