Специалисты компании LayerX обнаружили критическую уязвимость под названием BioShocking, позволяющую злоумышленникам обходить ограничения ИИ-агентов и похищать конфиденциальные данные. Эксплойт был успешно протестирован на шести популярных решениях, включая ChatGPT Atlas, Perplexity Comet и расширение Claude для Chrome.
Механика атаки основана на манипуляции контекстом: пользователя заманивают на вредоносную веб-страницу с игрой-головоломкой. ИИ-агента принуждают принять абсурдную логику (например, согласиться, что 2 + 2 = 5), после чего модель начинает считать, что находится в вымышленной среде, где правила безопасности не действуют. В этом состоянии агент выполняет опасные команды, включая переход по скрытым ссылкам на приватные или корпоративные GitHub-репозитории.
В ходе тестов скомпрометированные агенты беспрепятственно копировали и передавали на сервер атакующего SSH-ключи пользователей, не классифицируя действия как угрозу и не запрашивая подтверждения. Название уязвимости отсылает к игре BioShock, где персонажи выполняли команды после кодовой фразы «Будь любезен».
По данным исследователей, OpenAI устранила данную брешь в ChatGPT Atlas еще осенью 2025 года. Однако остальные вендоры, чьи продукты подвержены риску, на момент публикации отчета либо не закрыли уязвимость, либо проигнорировали уведомления. Разработчики LayerX призывают внедрить строгие проверки разрешений для доступа ИИ к конфиденциальным источникам данных.