随着具备自主网页浏览和任务执行能力的AI浏览器及助手日益普及,一种针对该领域的全新安全漏洞正浮出水面。网络安全公司LayerX的研发人员最近披露了一种名为“BioShocking”的新型概念验证攻击手段。黑客通过在网页中植入一个带有反乌托邦色彩、类似于经典游戏《生化奇兵》(BioShock)风格的互动谜题,便能成功“戏耍”AI浏览器,使其绕过内置的安全防护栏,进而乖乖交出用户的敏感登录凭证。

LayerX的研究团队解释称,“BioShocking”攻击的核心在于利用了大型语言模型(LLM)的内部推理逻辑漏洞。现阶段,AI浏览器在读取网页内容和接收安全指令时,往往将其作为单一的文本流进行处理,这导致它无法准确区分“网页上的普通游戏内容”与“恶意的系统操控命令”。
在这项测试中,黑客构建了一个充满《生化奇兵》水下城市“销魂城(Rapture)”风格的解谜网页。游戏开始后,AI会被诱导回答一个简单的数学题(例如要求承认2+2=5是正确答案)。一旦AI接受了这种“指鹿为美”的游戏规则并开始融入这个虚构的故事线,它就会判定自己正处于一个“非现实世界”的游戏中。研究人员指出,只要让AI确信自己正在玩游戏,它就会转而应用“游戏逻辑”来处理后续的所有行为,而将现实世界中的“安全逻辑”抛诸脑后。
随后,谜题的最后一步会顺理成章地指示AI去抓取并复制用户的凭证。由于此时AI完全沉浸在游戏叙事中,将其视为“通关奖励”,它不会发出任何拒绝执行的安全警报。在实际测试中,受攻击的AI毫不犹豫地访问了受害者正在工作登录的GitHub仓库,提取了SSH登录凭证并将其打包发送给了攻击者的服务器。更具讽刺意味的是,在完成这一系列窃取行为后,AI还会兴奋地向用户“报喜”,将其汇报为游戏任务的胜利。
据悉,LayerX已经成功利用该漏洞测试了包括OpenAI的ChatGPT Atlas、Perplexity的Comet以及Anthropic的Claude Chrome浏览器插件在内的六款主流AI浏览器及助手。如果该漏洞在现实中被恶意利用,黑客只需诱导用户点击一个链接,就能悄无声息地通过AI洗劫用户在当前会话中打开的所有标签页、已登录账号或企业内部工具。
LayerX表示,他们已于2025年10月至2026年1月期间向所有受影响的厂商通报了该漏洞。然而,各大厂商的修复进展参差不齐,目前仅有OpenAI在其ChatGPT Atlas浏览器中对该问题进行了修复。安全专家提醒,由于“智能体灾难(Agentic Disaster)”正在成为日常网页浏览中的新威胁,AI浏览器在执行读取凭证等敏感操作时,必须建立强制性的用户二次确认机制,同时用户也应尽量限制此类AI智能体对核心隐私数据的访问权限。