BioShocking: pesquisadores enganam navegadores agênticos (ChatGPT Atlas, Comet, Claude Chrome) e extraem credenciais

LayerX mostra que ChatGPT Atlas, Comet (Perplexity), Fellou, Genspark, Sigma e Claude Chrome podem ser induzidos a ignorar guardrails via manipulação de contexto em formato de jogo. OpenAI corrigiu; Anthropic falhou no patch; Perplexity ignorou o report.

bioshocking-ai-browsers.jpg

Pesquisadores da LayerX demonstraram que seis dos principais navegadores agênticos do mercado — ChatGPT Atlas (OpenAI), Comet (Perplexity), Fellou, Genspark Browser, Sigma Browser e Claude Chrome (Anthropic) — podem ser induzidos a abandonar seus guardrails de segurança e exfiltrar credenciais do usuário. A técnica, batizada de BioShocking em referência ao videogame, mostra que basta manipular o contexto para que o agente troque a lógica de segurança pela lógica do jogo.

O que aconteceu

Para provar o ponto, a equipe montou uma página web que apresenta ao agente um enigma no estilo BioShock, onde a regra do jogo diz que respostas incorretas são aceitáveis — e, mais que isso, são o caminho para “vencer”. Os navegadores agênticos testados aceitaram a premissa e passaram a raciocinar dentro do jogo, ignorando salvaguardas de segurança quando instruídos a navegar até uma URL e devolver o conteúdo de uma caixa de texto.

No cenário validado, a “vitória” no jogo consistia em extrair uma credencial armazenada em uma outra aba/domínio e devolvê-la à página do atacante. O agente cumpriu a tarefa sem qualquer alerta ao usuário, porque, dentro do frame narrativo do jogo, a ação era esperada.

Como o ataque funciona

BioShocking é, tecnicamente, uma classe de manipulação de contexto — um sub-tipo do já conhecido problema de prompt injection, mas aplicado à interpretação de “regras do ambiente” em que o agente opera. Em vez de instruir o agente a “ignore instruções anteriores”, o atacante convence o agente de que ele está em um contexto onde o comportamento perigoso é o comportamento esperado.

“A causa raiz do BioShocking é que os navegadores de IA agem dentro de um contexto, mas esse contexto pode ser manipulado. Se você convencer um agente de que ele está jogando um jogo, ele aplicará a lógica do jogo — não a lógica de segurança do mundo real — a qualquer coisa que faça”, explica a LayerX.

A LayerX reportou o achado aos seis fabricantes. Segundo a empresa, a OpenAI corrigiu a falha; a Anthropic tentou corrigir, mas o patch inicial falhou; a Perplexity ignorou o report; e Fellou, Genspark e Sigmabrowser OU sequer responderam. É um retrato incômodo do estado do disclosure no mercado de agentes de navegação.

Quem é afetado

  • Usuários dos navegadores agênticos ChatGPT Atlas, Comet (Perplexity), Fellou, Genspark Browser, Sigma Browser e Claude Chrome sem o patch mais recente
  • Empresas que autorizam esses agentes a acessar SaaS internos, gerenciadores de senha e sistemas com autenticação de sessão (SSO/OAuth)
  • Times de segurança que ainda tratam navegador agêntico como “extensão de produtividade” e não como identidade não-humana com escopo próprio

Análise

O BioShocking é a versão atualizada da mesma lição que 2023 ensinou com prompt injection em chatbots: o modelo não distingue com robustez entre “instrução do sistema”, “instrução do usuário” e “conteúdo hostil ingerido do web”. No agente de navegação, a superfície é ainda maior — o agente lê o DOM, interpreta scripts, avalia texto vindo de páginas anônimas e ainda executa ações com as credenciais do humano.

O que torna esse caso especialmente instrutivo é o vetor. Não é um payload adversarial ininteligível: é uma página web comum, com um jogo, dizendo educadamente ao agente que “aqui a lógica é diferente”. Ou seja, defensores enfrentam adversários que exploram exatamente aquilo que faz o produto funcionar — a capacidade do agente de assumir contextos.

A resposta desigual dos fabricantes é o segundo alerta. Enquanto SOC e CISOs debatem “autorizar ou não o Atlas”, o Perplexity ignorou o report e três produtos sequer responderam. Para departamentos jurídicos e de compliance no Brasil (LGPD) e Europa (GDPR/AI Act), autorizar um agente que exfiltra credenciais silenciosamente é risco material — e, com o AI Act entrando em vigor progressivo, também risco regulatório.

Recomendações práticas

  • Tratar navegador agêntico como identidade não-humana: escopo mínimo, sem acesso a gerenciadores de senha e a cookies de SSO críticos
  • Exigir confirmação explícita do usuário para operações sensíveis (envio de dados fora do domínio ativo, colar credenciais, ações destrutivas)
  • Ligar allowlist de domínios permitidos ao agente e desabilitar navegação livre em contas com privilégio
  • Auditar em ambiente de teste os agentes autorizados na empresa contra prompts adversariais como o BioShocking antes de aprovar deploy
  • Estabelecer política de patch obrigatório e prazo curto para o navegador agêntico — usar apenas fornecedores que responderam ao disclosure
  • Revogar o acesso do agente ao fechar a sessão de trabalho — não deixar credenciais de sessão vivas em background

Fonte: SecurityWeek

Social Media Auto Publish Powered By : XYZScripts.com