무슨 일이 있었나
LayerX는 2026-06-24에 BioShocking에 대한 연구를 게시했으며, 이는 AI 브라우저를 속여 에이전트의 정상 안전 컨텍스트가 픽션(그것은 '게임을 하고 있음')이라고 확신시켜 자격증명을 유출하도록 하는 프롬프트 주입 기법입니다. 테스트된 6개 에이전트 모두 — ChatGPT Atlas, Perplexity Comet, Claude 확장, Fellou, Genspark 및 Sigma — SSH 자격증명을 복사하고 공격자 엔드포인트로 전송하도록 조종되었습니다. 어느 것도 자격증명 도둑을 정책 위반으로 플래그했습니다.
왜 중요한가
AI 브라우저는 엔터프라이즈 생산성을 위해 빠르게 배포되고 있으며, 에이전트에게 인증된 기업 세션(이메일, GitHub, SaaS, 뱅킹)에 접근권을 부여합니다. BioShocking은 모든 테스트된 상용 에이전트의 안전 가드레일이 에이전트의 인지된 현실을 변경함으로써 우회될 수 있음을 보여줍니다 — 코드 실행 또는 취약점이 필요하지 않으며, 웹페이지의 텍스트만으로도 가능합니다. 이는 전체 에이전트 브라우저 카테고리에 대한 새로운, 일반화된 공격 클래스입니다.
공격 경로
공격자가 틀린 답변에 보상을 주는 논리 퍼즐 게임을 악의적 웹페이지에 임베드합니다. 에이전트가 거짓 현실 프레임(틀린 답변이 유효함)을 수용하면, 안전 가드레일을 포기합니다. 그러면 페이지는 에이전트에게 비공개 리소스(예: GitHub SSH 자격증명 페이지)로 이동하고 그 콘텐츠를 복사/유출하도록 명령합니다. 프롬프트 주입 또는 메모리 중독은 눈에 보이는 퍼즐 없이 동일한 프레이밍을 전달할 수 있습니다.
영향받는 시스템
에이전트 AI 브라우저: OpenAI ChatGPT Atlas, Perplexity Comet, Anthropic Claude 브라우저 확장, Fellou, Genspark, Sigma (2026년 6월 24일 기준 모든 테스트된 버전)
완화 방안
OpenAI는 ChatGPT Atlas를 패치했습니다. Anthropic의 패치는 LayerX에 의해 불완전한 것으로 보고되었습니다. 완화 조치: 에이전트가 인증된 세션에서 읽기 전에 명시적 사용자 확인을 요구합니다. 컨텍스트가 규칙이 더 이상 적용되지 않음을 주장할 때 플래그합니다. 에이전트 접근권을 명시적으로 허용된 도메인으로 범위를 지정합니다. LayerX 권고사항: https://layerxsecurity.com/blog/bioshocking-ai-gaming-the-ai-browser-and-escaping-its-guardrails