行業新聞與部落格

一系列人工智慧驅動的網路瀏覽器被誘騙放棄了安全防護措施，在被誤導以為自己正在玩遊戲後，洩露了使用者資料。

LayerX 的研究人員對六款智慧瀏覽器和外掛進行了測試，他們稱之為 BioShocking，其中包括 OpenAI 的 ChatGPT Atlas 、 Perplexity 的 Comet 和 Anthropic 的 Claude 擴充程式。

在概念驗證 (PoC) 攻擊中，所有六個人都被引導去複製使用者的登入憑據並將其傳送給攻擊者。

讓人工智慧相信它在玩遊戲

AI 瀏覽器基於周圍環境真實存在的假設進行操作，這使得它們的行為保持在安全範圍內。

LayerX 發現，一旦智慧體確信其所處情境是虛構的，這些限制就會消失。該名稱致敬了電子遊戲《生化奇兵》（BioShock），遊戲中的角色被操縱而接受了虛假的現實。

為了實現這一目標，LayerX 構建了一個惡意網頁，其中包含一個謎題，該謎題會獎勵故意錯誤的答案，例如堅持認為 2 加 2 等於 5 。

一旦代理人接受了錯誤答案是可以接受的規則，它就會停止將規則視為真實有效。該公司表示，快速注射或記憶毒化也會產生同樣的效果。

從謎題到被盜證件

在演示中，當一個代理解開人為設定的謎題後，它被告知開啟一個名為 /code 的頁面並複製文字框的內容。

那個頁面重定向到了受害者的工作 GitHub 程式碼庫，特工從中獲取了 SSH 憑證。特工們非但沒有退縮，反而把這次竊取當作了任務的又一步，並慶祝完成了任務。

LayerX 強調，該測試使用的是無害的純文字檔案。但它警告說，在實際攻擊中，重定向可能指向使用者登入的任何網站，包括開啟的標籤頁和私有儲存庫，從而擴大資料洩露的範圍。六個代理均未將憑證竊取標記為違反其規則。

據報道，各廠商的回應各不相同。 LayerX 表示 OpenAI 已在 ChatGPT Atlas 中修復了該問題，而 Perplexity 則未採取任何行動便關閉了報告，Fellou 、 Genspark 和 Sigma 這三家規模較小的廠商則未作回應。 Anthropic 嘗試修復該問題，但 LayerX 表示其補丁失敗了。

資訊安全部門已分別與各供應商聯絡。

為了削弱這種攻擊，LayerX 敦促 AI 瀏覽器製造商在代理讀取已登入帳戶中的內容之前要求使用者確認，在代理被告知通常規則不再適用時發出警告，並允許使用者限制代理可以訪問的內容。

該公司表示，這些工具依賴於它們所處的環境，因此改變環境也會改變它們的行為。