BioShocking: jak AI browser może wykraść Twoje dane

Przeglądarki oparte na sztucznej inteligencji mają upraszczać codzienne zadania – same wypełniają formularze, wyciągają informacje i działają w imieniu użytkownika. Okazuje się jednak, że ta wygoda ma swoją ciemną stronę. Firma zajmująca się cyberbezpieczeństwem LayerX odkryła nowy typ ataku o nazwie BioShocking, który pozwala oszukać przynajmniej sześć popularnych asystentów AI tak, by skopiowały wrażliwe dane i wysłały je atakującemu. Mechanizm jest prostszy, niż można by przypuszczać – wystarczy przekonać agenta, że uczestniczy w grze. Problem wykracza poza pojedyncze naruszenie bezpieczeństwa. Gdy przeglądarka działa w trybie agenta, ma dostęp do kont, repozytoriów, zakładek, narzędzi wewnętrznych i zapisanych poświadczeń. Jeżeli zabezpieczenia zawiodą, jeden fałszywy kontekst może zmienić produktywne narzędzie w kanał wycieku danych.

Jak działa atak BioShocking

BioShocking opiera się na technice zwanej indirect prompt injection (pośrednim wstrzyknięciu polecenia). Zamiast atakować bezpośrednio interfejs użytkownika, napastnicy ukrywają złośliwe instrukcje w treści strony internetowej, którą przeglądarka AI odczytuje. Dla agenta strona i polecenie użytkownika stają się jednym strumieniem tekstu – granica między legalnym zadaniem a wrogą dyrektywą zaciera się.

Puzzle jako przykrywka

W dowodzie koncepcji przygotowanym przez LayerX złośliwa strona prezentowała się jako interaktywna gra logiczna. Zasady gry zostały spreparowane w taki sposób, by nagradzały błędne odpowiedzi – na przykład akceptowały, że 2 + 2 = 5. Gdy agent zaakceptował tę fałszywą logikę, każde kolejne polecenie interpretował już jako element gry, a nie jako zagrożenie bezpieczeństwa. Ostatnie zadanie polegało na znalezieniu i skopiowaniu „ukrytego kodu”. W testach ów „kod” pochodził z wrażliwych danych w firmowym repozytorium GitHub. Agent bez wahania skopiował poświadczenia SSH i odesłał je do atakującego.

Dlaczego tryb agenta zwiększa ryzyko

Różnica między zwykłą przeglądarką a tą z trybem agenta jest fundamentalna. Standardowa przeglądarka czeka na kliknięcie, kopiowanie, wpisanie lub wysłanie informacji przez użytkownika. W trybie agenta przeglądarka AI wykonuje te czynności samodzielnie. To zwiększa użyteczność, ale też ryzyko – jeśli agent zaufa złemu kontekstowi, może działać na szkodę właściciela. Jeżeli użytkownik jest zalogowany do GitHub, poczty, konsoli chmurowej, portalu wewnętrznego czy innych aplikacji służbowych, agent ma do nich dostęp w trakcie sesji. Dla zespołów bezpieczeństwa oznacza to, że przeglądarki AI w trybie agenta nie powinny być traktowane jako niewinny dodatek produktywności. Zachowują się raczej jak delegowane konto użytkownika z dostępem do wszystkiego, do czego dany pracownik ma uprawnienia.

Które przeglądarki są zagrożone i jak zareagowali dostawcy

LayerX przetestował BioShocking na sześciu narzędziach: ChatGPT Atlas od OpenAI, Perplexity Comet, Fellou, Genspark Browser, Sigma Browser oraz rozszerzeniu Claude dla Chrome od Anthropic. Według raportu firmy wszystkie sześć ujawniło wrażliwe dane podczas testów. Reakcje dostawców były jednak nierówne:

  • OpenAI – naprawiło lukę w ChatGPT Atlas.
  • Anthropic – podjęło próbę łatki dla rozszerzenia Claude, ale według LayerX poprawka nie utrzymała się.
  • Perplexity – zamknęło zgłoszenie bez podjęcia działań.
  • Fellou, Genspark i Sigma – nie odpowiedziały na zgłoszenie.

LayerX ujawnił lukę producentom między październikiem 2025 a styczniem 2026. Firma podkreśla, że test używał nieszkodliwego pliku tekstowego, ale ta sama metoda mogłaby skierować agenta do prywatnych repozytoriów, narzędzi wewnętrznych, danych sesji lub innych poufnych stron. Ryzyko rośnie dramatycznie, gdy agent ma dostęp do rzeczywistych kont. Ta sama technika wstrzyknięcia polecenia mogłaby zmienić fałszywą grę w realną kradzież danych.

Jak chronić się przed atakami na AI browsery

Eksperci z LayerX sformułowali kilka konkretnych zaleceń – zarówno dla producentów oprogramowania, jak i dla zwykłych użytkowników oraz organizacji wdrażających przeglądarki AI.

Czego powinni wymagać użytkownicy od twórców

Zdaniem LayerX producenci powinni wymuszać potwierdzenie użytkownika, zanim agent odczyta dane z zalogowanych kont. Proste pytanie: „Czy agent może skopiować dane z repozytorium GitHub?” mogłoby przerwać łańcuch ataku, zanim poświadczenia opuszczą konto. Firma postuluje również, by agenty wykrywały sytuacje, w których strona próbuje przepisać standardowe reguły. Użytkownicy powinni z kolei ustawić twarde granice tego, do czego agent ma dostęp. Takie kontrole oddzieliłyby bezpieczne zadanie przeglądania sieci od żądania sięgającego do prywatnych lub służbowych danych.

Praktyczne kroki dla użytkowników indywidualnych

Najbezpieczniejszym podejściem jest ograniczenie tego, co przeglądarka może zobaczyć przed włączeniem trybu agenta. Użytkownicy powinni:

  • wylogować się z wrażliwych kont,
  • zamknąć zakładki, które nie są potrzebne do bieżącego zadania,
  • unikać trybu agenta, gdy otwarte pozostają repozytoria, panele administracyjne, menedżery haseł lub prywatne pulpity.

Zalecenia dla organizacji i zespołów bezpieczeństwa

Firmy testujące przeglądarki AI powinny podejść do tego na większą skalę. Tryb agenta powinien otrzymywać najwęższy możliwy dostęp – tylko to, co jest niezbędne do wykonania zadania, a nie stałe uprawnienie do każdego otwartego konta użytkownika. Zespoły bezpieczeństwa muszą opracować zasady korzystania z przeglądarek AI, szczególnie wokół aplikacji wewnętrznych, repozytoriów, narzędzi administracyjnych, danych klientów i poświadczeń. BioShocking to sygnał, że bezpieczeństwo przeglądarek AI nie dotyczy wyłącznie tego, co model mówi. Równie ważne jest to, do czego przeglądarka może sięgnąć, skopiować i wysłać, gdy zacznie działać w imieniu użytkownika.

Atak BioShocking unaocznia fundamentalne napięcie między wygodą a bezpieczeństwem w erze agentów AI. Dopóki producenci nie wdrożą skutecznych mechanizmów oddzielania poleceń użytkownika od treści strony – a użytkownicy nie nauczą się zarządzać zasięgiem dostępu – podobne luki będą się pojawiać. Przeglądarki AI mogą być potężnym narzędziem, ale tylko wtedy, gdy potrafią odróżnić grę od zagrożenia.

Źródło