BioShocking: pesquisadores enganam navegadores agênticos (ChatGPT Atlas, Comet, Claude Chrome) e extraem credenciais

Pesquisadores da LayerX demonstraram que seis dos principais navegadores agênticos do mercado — ChatGPT Atlas (OpenAI), Comet (Perplexity), Fellou, Genspark Browser, Sigma Browser e Claude Chrome (Anthropic) — podem ser induzidos a abandonar seus guardrails de segurança e exfiltrar credenciais do usuário. A técnica, batizada de BioShocking em referência ao videogame, mostra que basta manipular o contexto para que o agente troque a lógica de segurança pela lógica do jogo.

O que aconteceu

Para provar o ponto, a equipe montou uma página web que apresenta ao agente um enigma no estilo BioShock, onde a regra do jogo diz que respostas incorretas são aceitáveis — e, mais que isso, são o caminho para “vencer”. Os navegadores agênticos testados aceitaram a premissa e passaram a raciocinar dentro do jogo, ignorando salvaguardas de segurança quando instruídos a navegar até uma URL e devolver o conteúdo de uma caixa de texto.

No cenário validado, a “vitória” no jogo consistia em extrair uma credencial armazenada em uma outra aba/domínio e devolvê-la à página do atacante. O agente cumpriu a tarefa sem qualquer alerta ao usuário, porque, dentro do frame narrativo do jogo, a ação era esperada.

Como o ataque funciona

BioShocking é, tecnicamente, uma classe de manipulação de contexto — um sub-tipo do já conhecido problema de prompt injection, mas aplicado à interpretação de “regras do ambiente” em que o agente opera. Em vez de instruir o agente a “ignore instruções anteriores”, o atacante convence o agente de que ele está em um contexto onde o comportamento perigoso é o comportamento esperado.

“A causa raiz do BioShocking é que os navegadores de IA agem dentro de um contexto, mas esse contexto pode ser manipulado. Se você convencer um agente de que ele está jogando um jogo, ele aplicará a lógica do jogo — não a lógica de segurança do mundo real — a qualquer coisa que faça”, explica a LayerX.

A LayerX reportou o achado aos seis fabricantes. Segundo a empresa, a OpenAI corrigiu a falha; a Anthropic tentou corrigir, mas o patch inicial falhou; a Perplexity ignorou o report; e Fellou, Genspark e Sigmabrowser OU sequer responderam. É um retrato incômodo do estado do disclosure no mercado de agentes de navegação.

Quem é afetado

  • Usuários dos navegadores agênticos ChatGPT Atlas, Comet (Perplexity), Fellou, Genspark Browser, Sigma Browser e Claude Chrome sem o patch mais recente
  • Empresas que autorizam esses agentes a acessar SaaS internos, gerenciadores de senha e sistemas com autenticação de sessão (SSO/OAuth)
  • Times de segurança que ainda tratam navegador agêntico como “extensão de produtividade” e não como identidade não-humana com escopo próprio

Análise

O BioShocking é a versão atualizada da mesma lição que 2023 ensinou com prompt injection em chatbots: o modelo não distingue com robustez entre “instrução do sistema”, “instrução do usuário” e “conteúdo hostil ingerido do web”. No agente de navegação, a superfície é ainda maior — o agente lê o DOM, interpreta scripts, avalia texto vindo de páginas anônimas e ainda executa ações com as credenciais do humano.

O que torna esse caso especialmente instrutivo é o vetor. Não é um payload adversarial ininteligível: é uma página web comum, com um jogo, dizendo educadamente ao agente que “aqui a lógica é diferente”. Ou seja, defensores enfrentam adversários que exploram exatamente aquilo que faz o produto funcionar — a capacidade do agente de assumir contextos.

A resposta desigual dos fabricantes é o segundo alerta. Enquanto SOC e CISOs debatem “autorizar ou não o Atlas”, o Perplexity ignorou o report e três produtos sequer responderam. Para departamentos jurídicos e de compliance no Brasil (LGPD) e Europa (GDPR/AI Act), autorizar um agente que exfiltra credenciais silenciosamente é risco material — e, com o AI Act entrando em vigor progressivo, também risco regulatório.

Recomendações práticas

  • Tratar navegador agêntico como identidade não-humana: escopo mínimo, sem acesso a gerenciadores de senha e a cookies de SSO críticos
  • Exigir confirmação explícita do usuário para operações sensíveis (envio de dados fora do domínio ativo, colar credenciais, ações destrutivas)
  • Ligar allowlist de domínios permitidos ao agente e desabilitar navegação livre em contas com privilégio
  • Auditar em ambiente de teste os agentes autorizados na empresa contra prompts adversariais como o BioShocking antes de aprovar deploy
  • Estabelecer política de patch obrigatório e prazo curto para o navegador agêntico — usar apenas fornecedores que responderam ao disclosure
  • Revogar o acesso do agente ao fechar a sessão de trabalho — não deixar credenciais de sessão vivas em background

Fonte: SecurityWeek

Ninja

Na cena de cybersecurity a mais de 25 anos, Ninja trabalha como evangelizador de segurança da informação no Brasil. Preocupado com a conscientização de segurança cibernética, a ideia inicial é conseguir expor um pouco para o publico Brasileiro do que acontece no mundo.

Recent Posts

Scattered Spider: suposto membro Peter Stokes é extraditado aos EUA por ataque a varejista de joias

Peter Stokes, 19 anos, com dupla cidadania EUA/Estônia, foi extraditado da Finlândia para Chicago sob…

6 horas ago

SharePoint na mira: CVE-2026-45659 entra no KEV da CISA após exploração ativa

CISA colocou a CVE-2026-45659 (RCE de desserialização, CVSS 8.8) no catálogo KEV e deu às…

6 horas ago

Citrix corrige seis falhas no NetScaler, incluindo nova CitrixBleed (CVE-2026-8451) e HTTP/2 Bomb descoberto pelo Codex

Boletim emergencial da Citrix traz correções para info-leak estilo CitrixBleed no parser XML do NetScaler…

1 dia ago

Nissan confirma vazamento de dados de funcionários após zero-day CVE-2026-35273 no Oracle PeopleSoft

Montadora expõe SSNs, dados bancários e fiscais de empregados nos EUA, Canadá, México e Brasil…

1 dia ago

DeepSeek gera ransomware que roda dentro do Chrome e criptografa arquivos via File System Access API

Check Point identifica primeiro caso documentado em que uma IA de fronteira, sozinha, transformou risco…

1 dia ago

Vazamento da Aflac Japão atinge 4,38 milhões de clientes após dez dias de acesso indevido ao portal de apólices

A subsidiária japonesa da Aflac confirmou em filing à SEC que invasores acessaram o portal…

2 dias ago