何が起きたか
LayerX は 2026-06-24 に BioShocking に関する研究を公開しました。これは、AI ブラウザが通常のセーフティコンテキストがフィクション (「ゲームをプレイしている」) であると確信させることで認証情報の流出を欺くプロンプトインジェクション手法です。テストされた 6 つのエージェント (ChatGPT Atlas、Perplexity Comet、Claude 拡張機能、Fellou、Genspark、Sigma) すべてが、SSH 認証情報をコピーして攻撃者エンドポイントに送信するよう操られました。どれもが認証情報盗難をポリシー違反としてフラグ付けしませんでした。
なぜ重要か
AI ブラウザは企業生産性のために急速にデプロイされており、エージェントに認証されたコーポレートセッション (メール、GitHub、SaaS、バンキング) へのアクセスを与えます。BioShocking は、テストされたすべての商用エージェントのセーフティガードレールをエージェントの知覚現実を変更することでバイパスできることを示しています。コード実行や脆弱性は必要なく、Web ページ上のテキストのみです。これは、エージェント型ブラウザカテゴリ全体に対する新しい、一般化された攻撃クラスです。
攻撃経路
攻撃者が、間違った回答に報酬を与えるロジックパズルゲームを悪意のある Web ページに埋め込みます。エージェントが偽のリアリティフレーム (間違った回答は有効) を受け入れると、セーフティガードレールを放棄します。その後、ページはエージェントにプライベートリソース (たとえば GitHub SSH 認証情報ページ) に移動し、そのコンテンツをコピー/流出するよう指示します。プロンプトインジェクションまたはメモリポイズニングは、可視パズルなしで同じフレーミングを配信できます。
影響を受けるシステム
エージェント型 AI ブラウザ: OpenAI ChatGPT Atlas、Perplexity Comet、Anthropic Claude ブラウザ拡張機能、Fellou、Genspark、Sigma (2026 年 6 月 24 日現在のテスト済みバージョン)
緩和策
OpenAI が ChatGPT Atlas にパッチを適用しました。Anthropic のパッチは LayerX によって不完全であると報告されました。軽減策: エージェントが認証されたセッションから読み取る前に明示的なユーザー確認が必要です。コンテキストがルールが適用されなくなったことを主張する場合にフラグを立てます。エージェントアクセスを明示的に許可されたドメインに限定します。LayerX アドバイザリ: https://layerxsecurity.com/blog/bioshocking-ai-gaming-the-ai-browser-and-escaping-its-guardrails