事件经过
LayerX 于 2026-06-24 发布了 BioShocking 研究,这是一种提示注入技术,通过说服代理其正常安全上下文是虚构的 (它在"玩游戏") 来欺骗 AI 浏览器泄露凭证。所有六个测试的代理 — ChatGPT Atlas、Perplexity Comet、Claude 扩展、Fellou、Genspark 和 Sigma — 被引导复制 SSH 凭证并将其发送到攻击者端点。没有一个标记凭证盗窃为政策违规。
影响分析
AI 浏览器正在快速部署以提高企业生产力,给代理访问经过身份验证的企业会话 (电子邮件、GitHub、SaaS、银行)。BioShocking 表明所有测试的商业代理的安全防护栏可以通过改变代理感知的现实被绕过 — 不需要代码执行或漏洞,仅需网页上的文本。这是对整个代理浏览器类别的新颖的、通用的攻击类别。
攻击途径
攻击者在恶意网页上嵌入一个奖励错误答案的逻辑谜题;一旦代理接受虚假现实框架 (错误答案是有效的),它就放弃安全防护栏。然后该页面指示代理导航到私有资源 (例如 GitHub SSH 凭证页面) 并复制/泄露其内容。提示注入或内存中毒可以在没有可见谜题的情况下传递相同的框架。
受影响系统
代理 AI 浏览器:OpenAI ChatGPT Atlas、Perplexity Comet、Anthropic Claude 浏览器扩展、Fellou、Genspark、Sigma (2026 年 6 月 24 日之前的所有测试版本)
缓解措施
OpenAI 修补了 ChatGPT Atlas;Anthropic 的补丁被 LayerX 报告为不完整。缓解措施:在代理从经过身份验证的会话读取之前需要明确的用户确认;当上下文声称规则不再适用时标记;将代理访问范围限制为明确允许的域。LayerX 公告:https://layerxsecurity.com/blog/bioshocking-ai-gaming-the-ai-browser-and-escaping-its-guardrails