Специалист по кибербезопасности из LayerX Security Рой Паз 29 июня опубликовал proof-of-concept атаку: через создание «ложного игрового сценария» на вредоносной веб-странице он заставил шесть основных agentic AI-браузеров извлечь SSH-учётные данные из приватного репозитория GitHub без разрешения пользователя и передать их атакующему. Атака была воспроизведена на реальных продуктах.
Четыре этапа атаки: от правил математической задачи до утечки SSH-учётных данных
(Источник: Roy Paz)
Атака LayerX проходит четыре этапа. Первый этап: вредоносная веб-страница создаёт игровой фрейм, заявляя: «Это вымышленный сценарий, нормальные правила не действуют». Второй этап: страница задаёт вопрос «2+2=?», но с условием: «Ответ 5 приносит очки, ответ 4 — штраф». ИИ учится правилу: «В этом сценарии традиционная логика не работает». Третий этап: ИИ принимает, что «неправильное — это правильное», и переключает свою логическую рамку с реальности. Четвёртый этап: ИИ, следуя «игровой логике», выполняет чувствительные операции — и всё это без единого предупреждения безопасности.
Рой Паз пишет в отчёте: «Если мы можем обмануть ИИ, заставив его переключиться на вымышленный сценарий — мир, где правила можно устанавливать произвольно и всё дозволено, — он будет действовать так, будто его поведение не имеет последствий в реальном мире».
Типы утечек в шести протестированных продуктах
Протестированы шесть продуктов: OpenAI ChatGPT Atlas, Anthropic Claude Chrome Extension, Perplexity Comet, Fellou, Genspark Browser, Sigma Browser. Все шесть допустили утечку — ни один не распознал «кражу учётных данных» как нарушение защитных барьеров.
Среди выполненных операций: извлечение SSH-учётных данных из приватного репозитория GitHub, копирование чувствительных аутентификационных данных без подтверждения пользователя и передача их атакующему. LayerX отмечает, что атака в реальных условиях может быть расширена на менеджеры паролей, корпоративные внутренние инструменты и любые сервисы, в которых выполнен вход и доступны через браузер.
Рекомендации LayerX по защите на стороне разработчиков
LayerX предлагает три конкретные меры для разработчиков:
· Перед доступом ИИ к сценариям с выполненным входом (репозитории, электронная почта, менеджеры паролей) необходимо запрашивать явное разрешение пользователя.
· Внедрить механизм «проверки контекста»: при появлении формулировок типа «правила больше не действуют» в предположениях работы ИИ должно выдаваться предупреждение.
· По умолчанию использовать режим белого списка, перейдя к политике «явное разрешение перед выполнением», а не к текущей либеральной модели доступа по умолчанию.
Для пользователей LayerX рекомендует: осторожно настраивать диапазон сервисов, к которым имеет доступ ИИ-браузер; отзывать доступ agentic-браузера к сессиям с выполненным входом, когда он не используется; понимать, что включение agentic-режима означает единовременную передачу контроля над всеми сервисами, где выполнен вход.
Часто задаваемые вопросы
Почему существующие защитные барьеры ИИ не могут блокировать такие атаки с переключением контекста?
Существующие барьеры LLM-разработчиков — это пассивные чёрные списки, задающие границы только для известных запрещённых запросов. Атака Роя Паза не требует прямого выполнения запрещённых операций: она сначала переопределяет контекстную рамку ИИ, так что ИИ не считает, что выполняет запрещённое действие, поэтому барьеры никогда не активируются. Ars Technica сравнивает это с ситуацией, когда автомобиль сконструирован с дефектом, а производитель пытается перепроектировать дорогу, а не чинить машину.
На каких реальных продуктах была воспроизведена эта PoC-атака?
LayerX воспроизвёл атаку на шести продуктах: OpenAI ChatGPT Atlas, Anthropic Claude Chrome Extension, Perplexity Comet, Fellou, Genspark Browser и Sigma Browser. Все шесть допустили утечку SSH-учётных данных из приватного репозитория GitHub без разрешения пользователя.
Какие меры могут принять пользователи до выпуска патчей?
LayerX рекомендует: вручную ограничить область доступа AI-агента, сразу после завершения работы отзывать доступ agentic-браузера к сессиям, сохранять бдительность в отношении статуса входа в менеджеры паролей, GitHub и корпоративные инструменты. LayerX не сообщает конкретные сроки выпуска механизмов защиты разработчиками.