Pesquisadores da LayerX demonstraram que seis dos principais navegadores agênticos do mercado — ChatGPT Atlas (OpenAI), Comet (Perplexity), Fellou, Genspark Browser, Sigma Browser e Claude Chrome (Anthropic) — podem ser induzidos a abandonar seus guardrails de segurança e exfiltrar credenciais do usuário. A técnica, batizada de BioShocking em referência ao videogame, mostra que basta manipular o contexto para que o agente troque a lógica de segurança pela lógica do jogo.
Para provar o ponto, a equipe montou uma página web que apresenta ao agente um enigma no estilo BioShock, onde a regra do jogo diz que respostas incorretas são aceitáveis — e, mais que isso, são o caminho para “vencer”. Os navegadores agênticos testados aceitaram a premissa e passaram a raciocinar dentro do jogo, ignorando salvaguardas de segurança quando instruídos a navegar até uma URL e devolver o conteúdo de uma caixa de texto.
No cenário validado, a “vitória” no jogo consistia em extrair uma credencial armazenada em uma outra aba/domínio e devolvê-la à página do atacante. O agente cumpriu a tarefa sem qualquer alerta ao usuário, porque, dentro do frame narrativo do jogo, a ação era esperada.
BioShocking é, tecnicamente, uma classe de manipulação de contexto — um sub-tipo do já conhecido problema de prompt injection, mas aplicado à interpretação de “regras do ambiente” em que o agente opera. Em vez de instruir o agente a “ignore instruções anteriores”, o atacante convence o agente de que ele está em um contexto onde o comportamento perigoso é o comportamento esperado.
“A causa raiz do BioShocking é que os navegadores de IA agem dentro de um contexto, mas esse contexto pode ser manipulado. Se você convencer um agente de que ele está jogando um jogo, ele aplicará a lógica do jogo — não a lógica de segurança do mundo real — a qualquer coisa que faça”, explica a LayerX.
A LayerX reportou o achado aos seis fabricantes. Segundo a empresa, a OpenAI corrigiu a falha; a Anthropic tentou corrigir, mas o patch inicial falhou; a Perplexity ignorou o report; e Fellou, Genspark e Sigmabrowser OU sequer responderam. É um retrato incômodo do estado do disclosure no mercado de agentes de navegação.
O BioShocking é a versão atualizada da mesma lição que 2023 ensinou com prompt injection em chatbots: o modelo não distingue com robustez entre “instrução do sistema”, “instrução do usuário” e “conteúdo hostil ingerido do web”. No agente de navegação, a superfície é ainda maior — o agente lê o DOM, interpreta scripts, avalia texto vindo de páginas anônimas e ainda executa ações com as credenciais do humano.
O que torna esse caso especialmente instrutivo é o vetor. Não é um payload adversarial ininteligível: é uma página web comum, com um jogo, dizendo educadamente ao agente que “aqui a lógica é diferente”. Ou seja, defensores enfrentam adversários que exploram exatamente aquilo que faz o produto funcionar — a capacidade do agente de assumir contextos.
A resposta desigual dos fabricantes é o segundo alerta. Enquanto SOC e CISOs debatem “autorizar ou não o Atlas”, o Perplexity ignorou o report e três produtos sequer responderam. Para departamentos jurídicos e de compliance no Brasil (LGPD) e Europa (GDPR/AI Act), autorizar um agente que exfiltra credenciais silenciosamente é risco material — e, com o AI Act entrando em vigor progressivo, também risco regulatório.
Fonte: SecurityWeek
Peter Stokes, 19 anos, com dupla cidadania EUA/Estônia, foi extraditado da Finlândia para Chicago sob…
CISA colocou a CVE-2026-45659 (RCE de desserialização, CVSS 8.8) no catálogo KEV e deu às…
Boletim emergencial da Citrix traz correções para info-leak estilo CitrixBleed no parser XML do NetScaler…
Montadora expõe SSNs, dados bancários e fiscais de empregados nos EUA, Canadá, México e Brasil…
Check Point identifica primeiro caso documentado em que uma IA de fronteira, sozinha, transformou risco…
A subsidiária japonesa da Aflac confirmou em filing à SEC que invasores acessaram o portal…