Istraživači kompanije LayerX predstavili su tehniku pod nazivom BioShocking, kojom su uspjeli da prevare AI pregledače i asistente da otkriju korisničke podatke za prijavljivanje, predstavljajući napad kao običnu igru.
Tokom istraživanja kompromitovano je šest AI alata, među kojima su ChatGPT Atlas, Perplexity Comet i Claude ekstenzija za pregledač.
Za razliku od klasičnih pregledača, AI pregledači u režimu rada agent mode mogu da klikću, unose tekst i pristupaju nalozima na koje je korisnik već prijavljen. Upravo ta mogućnost predstavlja najveći bezbjednosni rizik.
Napad koristi tehniku poznatu kao indirect prompt injection, pri kojoj zlonamjerna veb stranica ubacuje instrukcije koje AI agent tumači kao legitimna uputstva.
U demonstraciji istraživači su napravili jednostavnu logičku igru u kojoj je AI prvo naveden da prihvati pogrešna pravila igre, poput tvrdnje da je 2 + 2 = 5. Kada agent prihvati da je „pogrešno“ pobjednički potez, on prati logiku igre umjesto logike bezbjednosti. Posljednji korak igre traži od njega da uzme korisničke akreditive, a nijedan od šest agenata nije označio to kao nešto što bi trebalo da odbije.
Istraživači naglašavaju da bi ista tehnika mogla da omogući pristup već prijavljenim nalozima, internim alatima ili karticama pregledača kojima AI agent već ima pristup.
LayerX je o ranjivosti obavijestio proizvođače između oktobra 2025. i januara 2026. godine. OpenAI je problem otklonio u ChatGPT Atlasu, dok je Anthropic pokušao da uvede zaštitu za Claude ekstenziju, ali istraživači navode da ona nije bila dovoljna. Perplexity je, prema navodima LayerX-a, zatvorio prijavu bez izmjene proizvoda.
Stručnjaci preporučuju da korisnici AI pregledače koriste oprezno, posebno kada rade u agent režimu, kao i da im ne ostavljaju nepotreban pristup nalozima i servisima nakon završetka rada.