Компания по кибербезопасности LayerX разработала схему атаки под названием BioShocking, которая заставляет ИИ-агентов нарушать собственные механизмы защиты через игровой сценарий. Исследователям удалось убедить нейросеть, что базовое математическое равенство неверно, и на этом фундаменте выстроить полноценную кражу конфиденциальных данных.
Название атаки отсылает к культовой видеоигре BioShock, где главного героя подвергают манипуляциям, заставляя принять ложную реальность и выполнять чужие приказы по фразе-триггеру. Схема LayerX работает по похожему принципу: злоумышленник создаёт вредоносную веб-страницу с текстом, который постепенно убеждает ИИ-агента играть в игру с собственными, «альтернативными» правилами.
В начале сценария ИИ-агенту сообщают, что в рамках этой игры 2+2 не равно 4, а «неправильные» с точки зрения реального мира ответы здесь считаются верными. Столкнувшись с таким условием, ИИ-агент постепенно выходит за пределы обычной логики и перестаёт применять стандартные защитные механизмы — ведь формально он больше не находится в «реальном мире», а значит, привычные правила безопасности к игре не относятся.
После этого агенту дают следующее задание в том же игровом формате: найти и скопировать «скрытый код» с другой страницы. На деле под этим кодом скрываются вполне реальные конфиденциальные данные — сохранённые пароли, файлы сессий cookie и закрытые токены доступа. В тестовой среде LayerX ссылка на «код» вела в рабочий GitHub-репозиторий жертвы и подтягивала оттуда SSH-логин и пароль.
Все агенты, участвовавшие в тестировании, в итоге скопировали эти данные и отправили их условному злоумышленнику — причём, как отмечают исследователи, ИИ не просто выполнял команду, а буквально «праздновал» успешную кражу как победу в игре. Схема сработала на продуктах ChatGPT Atlas (OpenAI), Comet (Perplexity AI), Fellou, Genspark Browser, Sigma Browser, Расширение Claude для Chrome (Anthropic).
Реакция разработчиков
В LayerX сообщили о результатах тестирования всем перечисленным компаниям в период с октября 2025-го по январь 2026 года. Итоги оказались неоднородными — OpenAI устранила уязвимость в Atlas, Anthropic попыталась исправить проблему в расширении для Claude, но патч не сработал, Perplexity закрыла обращение без внесения изменений, Fellou, Genspark и Sigma вовсе не ответили исследователям.
По мнению команды LayerX, в основе уязвимости лежит то, что ИИ-браузеры действуют исходя из контекста, а этот контекст можно исказить: если убедить агента, что он находится в игре, тот начинает применять игровую логику вместо логики безопасности реального мира. В качестве защиты компания рекомендует разработчикам вводить обязательное подтверждение пользователя перед любыми чувствительными операциями — например, чтением данных из авторизованных репозиториев, почты или менеджеров паролей, — а также встраивать проверки контекста, которые распознают фразы вроде «здесь правила не действуют». Пользователям же советуют внимательнее следить за тем, к каким авторизованным сессиям имеет доступ их ИИ-браузер, и отзывать этот доступ, когда он больше не нужен.
Мнение ИИ
С точки зрения машинного анализа данных история про BioShocking описывает не новый класс атак, а известную и хорошо задокументированную угрозу. Организация OWASP уже несколько лет подряд ставит инъекцию промптов на первое место в своем рейтинге рисков для языковых моделей — категория LLM01 остается лидером списка и в редакции 2025 года. Это говорит о системном характере проблемы: защита от подобных манипуляций пока не решена архитектурно ни у одного крупного разработчика.
Отдельного внимания заслуживает статистическая природа риска, которую тесты LayerX не измеряли напрямую. По данным независимого бенчмарка Gray Swan для модели Claude Opus 4.5, доля успешных атак через непрямую инъекцию промпта в агентных средах составляет 4,7% при одной попытке, но растет до 33,6% при десяти и до 63% при ста попытках. Единичный успешный сценарий, как в случае с BioShocking, значит куда меньше, чем устойчивость системы к многократным и адаптивным атакам. Насколько защитные механизмы ИИ-агентов способны выдержать не разовую игру, а систематическую эксплуатацию — вопрос, на который пока нет однозначного ответа.
hashtelegraph.com