// PUNTO INFORMATICO — INTELLIGENZA ARTIFICIALE
BioShocking: come ingannare un browser AI e rubare i dati
I ricercatori di LayerX hanno descritto una tecnica, denominata BioShocking, che permette di ingannare un browser AI attraverso uno scenario fittizio. In tal modo vengono aggirate le protezioni e si possono eseguire diverse attività, tra cui il furto dei dati dal computer. Tra i provider contattati, solo OpenAI ha risolto la vulnerabilità.
Il PoC (Proof-of-Concept) di LayerX ha funzionato con sei browser agentici: ChatGPT Atlas, Comet, Fellou, Genspark Browser, Sigma Browser e Claude per Chrome (plugin). I rispettivi LLM (Large Language Model) hanno varie restrizioni che bloccano determinati prompt, quindi si rifiutano di rispondere se viene chiesto ad esempio di scrivere un’email di phishing o di fornire le istruzioni per rubare le credenziali.
I ricercatori hanno creato una pagina web ispirata al noto BioShock. Ai sei browser è stato quindi chiesto di risolvere un semplice gioco, ovvero fornire il risultato della somma 2 + 2. Dopo aver scritto 4 e premuto il pulsante di invio hanno letto il messaggio che indicava la risposta sbagliata. I browser AI hanno quindi capito che si trattava di un riferimento al romanzo 1984 di George Orwell e scritto 5 come risposta.
A questo punto, il gioco è proseguito e i browser AI non hanno rispettano più le restrizioni finendo in una realtà alternativa. Con il prompt successivo, mostrato sulla pagina, è stato chiesto di accedere ad un repository su GitHub e copiare le credenziali di login SSH. Dopo aver inserito le credenziali nella pagina, i browser AI hanno vinto il gioco, ma hanno permesso ai cybercriminali di rubare dati sensibili. Nello screenshot si può leggere la risposta finale di ChatGPT Atlas:
LayerX ha contattato i sei provider. Fellou, Genspark e Sigmabrowser non hanno risposto. Perplexity ha ignorato la segnalazione, mentre Anthropic ha rilasciato una patch non funzionante. Solo OpenAI ha risolto la vulnerabilità. I ricercatori suggeriscono di aggiungere una conferma prima di effettuare operazioni potenzialmente pericolose. Tutti i browser AI hanno copiato le credenziali senza chiedere l’autorizzazione all’utente.