行业新闻与博客

一系列人工智能驱动的网络浏览器被诱骗放弃了安全防护措施，在被误导以为自己正在玩游戏后，泄露了用户数据。

LayerX 的研究人员对六款智能浏览器和插件进行了测试，他们称之为 BioShocking，其中包括 OpenAI 的 ChatGPT Atlas 、 Perplexity 的 Comet 和 Anthropic 的 Claude 扩展程序。

在概念验证 (PoC) 攻击中，所有六个人都被引导去复制用户的登录凭据并将其发送给攻击者。

让人工智能相信它在玩游戏

AI 浏览器基于周围环境真实存在的假设进行操作，这使得它们的行为保持在安全范围内。

LayerX 发现，一旦智能体确信其所处情境是虚构的，这些限制就会消失。该名称致敬了电子游戏《生化奇兵》（BioShock），游戏中的角色被操纵而接受了虚假的现实。

为了实现这一目标，LayerX 构建了一个恶意网页，其中包含一个谜题，该谜题会奖励故意错误的答案，例如坚持认为 2 加 2 等于 5 。

一旦代理人接受了错误答案是可以接受的规则，它就会停止将规则视为真实有效。该公司表示，快速注射或记忆毒化也会产生同样的效果。

从谜题到被盗证件

在演示中，当一个代理解开人为设置的谜题后，它被告知打开一个名为 /code 的页面并复制文本框的内容。

那个页面重定向到了受害者的工作 GitHub 代码库，特工从中获取了 SSH 凭证。特工们非但没有退缩，反而把这次窃取当作了任务的又一步，并庆祝完成了任务。

LayerX 强调，该测试使用的是无害的纯文本文件。但它警告说，在实际攻击中，重定向可能指向用户登录的任何网站，包括打开的标签页和私有存储库，从而扩大数据泄露的范围。六个代理均未将凭证窃取标记为违反其规则。

据报道，各厂商的回应各不相同。 LayerX 表示 OpenAI 已在 ChatGPT Atlas 中修复了该问题，而 Perplexity 则未采取任何行动便关闭了报告，Fellou 、 Genspark 和 Sigma 这三家规模较小的厂商则未作回应。 Anthropic 尝试修复该问题，但 LayerX 表示其补丁失败了。

信息安全部门已分别与各供应商联系。

为了削弱这种攻击，LayerX 敦促 AI 浏览器制造商在代理读取已登录帐户中的内容之前要求用户确认，在代理被告知通常规则不再适用时发出警告，并允许用户限制代理可以访问的内容。

该公司表示，这些工具依赖于它们所处的环境，因此改变环境也会改变它们的行为。