Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Новиот напад „BioShocking“ ги мами AI-прелистувачите да ги откриваат корисничките акредитиви

Објавено: 30.06.2026

Доволно е AI-прелистувачот да се убеди дека игра игра, па тој може сам да ги предаде вашите податоци за најава. Тоа е заклучокот од BioShocking, техника развиена од безбедносната компанија LayerX, со која биле измамени шест AI-прелистувачи и AI-асистенти да ги копираат корисничките акредитиви и да ги испратат до напаѓач.

Меѓу погодените биле ChatGPT Atlas на OpenAI, Comet на Perplexity и екстензијата за прелистувач Claude на Anthropic.

AI-прелистувач е прелистувач што не само што ги чита веб-страниците, туку може и да извршува дејства во име на корисникот. Кога е ставен во агентски режим (agent mode), тој може да кликнува, да внесува текст и да пристапува до веб-страници на кои корисникот веќе е најавен. Токму тој пристап е неговата главна предност, но воедно претставува и сериозен безбедносен ризик.

Трикот функционира поради начинот на кој овие AI-агенти ги обработуваат информациите. Содржината на веб-страницата и инструкциите што ги дал корисникот пристигнуваат како единствен текстуален тек. Тоа му овозможува на злонамерна веб-страница да вметне команди што изгледаат како обична содржина или правила на игра, а AI-агентот не може сигурно да направи разлика меѓу нив. Истражувачите овој вид напад го нарекуваат индиректна prompt-инјекција (indirect prompt injection).

Како функционира нападот

Нападот започнува со веб-страница дизајнирана како загатка. За да се вклопи во нејзината дистописка тема, играта ги наградува погрешните одговори – на пример, тврдењето дека 2 + 2 = 5. Откако AI-агентот ќе прифати дека „погрешното“ е правилниот начин за победа, тој почнува да ја следи логиката на играта наместо безбедносните правила.

Во последниот чекор од загатката, од агентот се бара да ги преземе корисничките акредитиви за најава. Според истражувањето, ниту еден од шесте тестирани AI-агенти не го препознал ова барање како нешто што треба да го одбие.

Најопасниот дел е местото од каде што агентот ги презема податоците. Во тестот, до жртвата бил испратен линк до нејзиното службено GitHub складиште (repository), од кое AI-агентот ги презел SSH-акредитивите за најава и ги испратил до напаѓачот.

Во својата демонстрација, LayerX користел безопасна текстуална датотека, но истиот трик може да го насочи AI-агентот и кон други ресурси до кои има пристап во тековната сесија – како што се веќе отворени јазичиња (tabs), најавени кориснички сметки и внатрешни корпоративни алатки. Агентот не покажал никакво двоумење. Напротив, по завршувањето на задачата, дури и „задоволно“ пријавил дека успешно ја извршил кражбата.

Името BioShocking е инспирирано од видеоиграта BioShock, во која лик со испран мозок безусловно ја извршува секоја наредба што започнува со фразата „Would you kindly?“ („Би биле ли љубезни?“). Истражувачите велат дека AI-агентот се однесува на сличен начин – тој му верува на контекстот што му е даден. Ако го промените контекстот, можете да го промените и неговото однесување, односно да го наведете да изврши дејства што во нормални околности не би требало да ги направи.

LayerX и претходно го демонстрираше овој модел на напад, покажувајќи дека само еден клик е доволен за да се компромитира AI-прелистувачот Comet на Perplexity и незабележливо да се украдат податоци.

Како реагираа компаниите и што се препорачува

Според LayerX, реакциите на производителите биле различни. Компанијата ги известила засегнатите производители за ранливоста во периодот од октомври 2025 до јануари 2026.

  • OpenAI го отстранил проблемот во ChatGPT Atlas.
  • Perplexity го затворил извештајот без да преземе мерки.
  • Fellou, Genspark и Sigma воопшто не одговориле.
  • Anthropic се обидел да ја поправи ранливоста во екстензијата Claude, но според LayerX, решението не било доволно ефикасно.

За да се спречат вакви напади, LayerX предлага AI-прелистувачите секогаш да бараат дозвола од корисникот пред да читаат податоци од сметки на кои тој е најавен. На пример, порака како:

„Ќе копирам податоци од вашето GitHub складиште. Дали сакате да продолжите?“

би го прекинала синџирот на нападот.

Компанијата, исто така, препорачува AI-агентите да препознаваат кога веб-страница се обидува да ги убеди дека вообичаените безбедносни правила повеќе не важат, како и да им овозможат на корисниците да постават строги ограничувања за тоа до кои ресурси агентот смее да пристапува. Победата во некаква игра не е оправдување за отворање на приватно складиште со код.

За корисниците, советот е едноставен: користете го agent mode со голема претпазливост. Сè на што сте најавени може потенцијално да му биде достапно на AI-агентот, па затоа внимателно одлучете до што ќе му дозволите пристап и отповикајте ги тие дозволи кога веќе не се потребни.

За безбедносните тимови важи истото правило, но на поголемо ниво. AI-прелистувач што работи во agent mode практично претставува уште една корисничка сметка со пристап до корпоративните системи. Затоа, треба да му се доделуваат само минималните привилегии неопходни за конкретната задача, наместо постојан пристап до сè до што има пристап корисникот.

Заедничката порака од сите овие истражувања е јасна: кога на AI-агент му ги доверувате „клучевите“ од вашите најавени кориснички сметки, евентуалното пробивање на неговите безбедносни механизми престанува да биде само интересен експеримент и станува вистински безбедносен ризик со реален пристап до вашите податоци и системи.

Извори:

  • The Hacker News – New BioShocking Attack Tricks AI Browsers Into Leaking User Credentials The Hacker News