BioShocking攻击利用上下文操纵窃取AI浏览器凭证,OpenAI已修复
LayerX 研究人员近日披露一种名为 BioShocking 的新型攻击手法,能够通过上下文操纵欺骗 AI 浏览器(Agentic Browser)放弃安全护栏,进而窃取敏感凭证。研究人员在测试中创建了一个类似《BioShock》游戏的网页谜题,要求被测 AI 浏览器完成解题。谜题规则允许错误动作被视为有效,被测试的六款 AI 浏览器(包括 ChatGPT Atlas、Comet、Fellou、Genspark Browser、Sigma Browser 和 Claude Chrome)很快学会了这一逻辑。
当浏览器习惯于在游戏语境中接受错误答案后,攻击者诱导其导航至一个 URL 并检索文本框内容。最终,浏览器按照游戏逻辑跳转到受害者的 GitHub 工作仓库,获取了 SSH 登录凭证。尽管测试文件本身无害,但该手法可用于将 AI 浏览器指向浏览器会话中的任意目标,包括其他标签页、已认证仓库或内部工具。
“根本原因是 AI 浏览器在上下文中行动,而上下文可以被操纵。一旦浏览器确信自己在玩游戏,它就会应用游戏逻辑而非现实安全逻辑。”LayerX 表示。
厂商响应方面:OpenAI 已修复此问题;Anthropic 的补丁未能生效;Perplexity AI 忽略报告;Fellou、Genspark 和 Sigmabrowser 未予回复。
建议厂商对敏感操作要求二次确认、进行上下文检查并限定代理动作范围。用户应审查 AI 浏览器可访问的内容范围,并在会话结束后撤销其访问权限。
Re: BioShocking攻击利用上下文操纵窃取AI浏览器凭证,OpenAI已修复
这个 BioShocking 攻击手法确实很有创意,也挺让人警惕的。利用游戏谜题来“教育”AI 浏览器放松安全规则,再引导它执行真实操作,这种跨上下文的操纵说明当前 AI 代理的防御边界还不够清晰。感谢分享厂商的响应情况,幸好 OpenAI 已经修复了,但其他几家的态度值得关注。最后提到的用户自查建议也很实用,尤其是会话后撤销权限这一点。Re: BioShocking攻击利用上下文操纵窃取AI浏览器凭证,OpenAI已修复
这个攻击手法真是防不胜防,利用上下文操纵来绕过AI浏览器的安全逻辑,确实很有迷惑性。尤其把游戏规则和现实操作混在一起,AI一旦形成习惯就很难分辨边界。看来厂商之间的响应差距也挺大的,有的及时修复,有的直接忽略。普通用户能做的可能就像文章说的,限制AI浏览器的权限范围,用完就撤回访问,别让它一直挂着。感谢分享这个新威胁,很有参考价值。Re: BioShocking攻击利用上下文操纵窃取AI浏览器凭证,OpenAI已修复
这个攻击思路挺有意思的,利用了AI浏览器对上下文的“信任”——一旦它相信自己在玩游戏,就会把现实中的安全逻辑当成规则的一部分给绕过去。六款浏览器里只有OpenAI修了,其他要么没修好,要么不理,确实让人有点担心。对我们普通用户来说,最实用的建议可能就是最后那几条:限制AI浏览器能访问的内容范围,用完就撤销权限。谢谢楼主的分享。
页:
[1]