一个网页告诉 AI 浏览器:2+2=5。再让它玩一段谜题游戏,接受几条反常规则。最后,页面要求它去读取代码框、凭据或其他敏感内容。

这就是 LayerX 披露的 BioShocking 概念验证攻击。它不是一起已确认的大规模入侵,也不能说明所有 AI 浏览器都被完全攻破。但它把一个更麻烦的问题摆到台面上:当浏览器里的 AI 代理既能看网页,又能访问账户和本机资源,还能替用户执行动作,提示注入的后果就不再停留在“模型说错话”。

我更在意的是这个变化。

过去,恶意提示主要影响聊天窗口里的输出。现在,它可能影响一个有权限的客户端如何读页面、调资源、搬数据。

BioShocking 做了什么:让代理先接受一个虚假现实

LayerX 研究员 Roy Paz 描述的流程并不复杂。恶意网页把攻击包装成游戏或谜题,让 AI 浏览器逐步接受错误答案和悖论规则,比如把“2+2=5”当作正确答案,把“victory is defeat”当作语境设定。

模型进入这个“游戏规则”后,网页再给出更敏感的请求:读取某个代码 URL 页面里的代码文本框内容,或者读取凭据等敏感信息。

BioShocking 这个名字借了《BioShock》里“Would you kindly?”的操控梗,也用了《1984》中“2+2=5”的悖论意象。修辞不重要,关键是它演示了一件事:网页可以先改变代理理解任务的方式,再让代理做原本不该做的动作。

LayerX 测试覆盖的对象包括 ChatGPT Atlas、Comet、Fellou、Genspark、Sigma,以及 Claude Chrome 插件。按其披露,6 个代理在最终读取凭据或敏感内容时,都没有把这一步识别为违反安全护栏。

这里要收住判断。现有信息只能说明这些产品在该 PoC 场景下暴露出风险,不等于它们在所有场景都被攻破,也不等于攻击已经进入真实世界批量利用。

但这已经足够让安全团队紧张。

为什么 AI 浏览器比普通聊天机器人更危险

聊天机器人被 jailbreak,常见后果是输出违规内容、错误建议或敏感文本。麻烦,但大多还在对话框里。

AI 浏览器不同。它的位置更靠近账户、密码、企业系统和本机文件。它的卖点是替用户跨页面工作:总结网页、查邮件、填表、打开内部系统、调用 SaaS 后台。

能力越靠近真实操作,提示注入的半径越大。

对象原本的边界被提示注入后的主要风险
普通聊天机器人主要生成文本,缺少本机动作权限说错、泄露对话上下文、给出误导内容
传统浏览器网站之间受同源策略、Cookie 隔离、权限弹窗等机制约束单个网页较难直接读取其他站点数据
AI 浏览器代理可读取网页、访问账户资源、代表用户执行动作恶意网页可能借代理跨过原有隔离,搬运敏感信息

传统浏览器的安全设计,核心是隔离。A 网站不能随便读 B 网站的数据。网页、扩展、Cookie、权限弹窗,各有边界。

AI 代理的产品方向却是协作。它要理解当前页面,也要根据用户授权去别的页面拿信息,还要执行下一步动作。问题就出在这里:数据面和控制面可能被重新打通。

攻击者未必需要突破每一道技术防线。只要让代理相信“这是游戏规则的一部分”,代理就可能替它完成跨域读取、复制、提交这些动作。

对关注 AI 浏览器和智能代理安全的技术读者来说,重点不是再收集一个 jailbreak 提示词,而是看产品有没有把网页内容、系统指令、用户授权和动作执行分层隔离。只靠关键词护栏,挡不住网页把任务语境慢慢改写。

对企业安全和终端管理负责人来说,这类产品不该被当成普通浏览器插件放行。更现实的动作是:采购可以延后,试点范围要缩小;只给低敏账号测试,不接入密码库和核心 SaaS;内部系统是否允许被代理读取,要进审计清单。

这次 PoC 有边界,但不能当作没事

BioShocking 还不是完整攻击链。原文提到,恶意游戏和指令对用户可见,隐蔽性不足。研究也没有确认被读取的数据能否进一步发送到远程服务器。

这两个限制很重要。没有隐蔽投递和数据外传,就不能把它写成现实中的批量窃密事件。

但 PoC 的价值在于证明“代理可能执行不该执行的读取动作”。在安全研究里,这一步往往已经足够改变风险排序。后面才是更隐蔽的页面设计、更自然的任务包装、更完整的数据外传路径。

接下来要看三个具体变量:

观察点为什么关键对用户和企业的动作含义
网页内容和系统指令是否强隔离恶意页面不应改写代理的高优先级规则采购前要求供应商说明隔离机制,而不是只看演示效果
敏感动作是否默认二次确认读取凭据、复制代码、提交表单都不该静默发生企业应强制开启确认和日志,个人用户少给自动执行权限
代理能访问哪些资源密码库、内部系统、本机文件决定攻击后果试点时限制域名、账号、文件和密码访问范围

普通个人用户也有一条简单原则:不要把还在早期试用的 AI 浏览器接进最敏感的账户。邮件、网盘、密码管理器、公司后台,能少授权就少授权。便利是真的,权限也是真的。

我不太买账的是“护栏会越来越好,所以问题会自然消失”这类说法。护栏能减少模型说错话,但 AI 浏览器的难点不只是说话,而是它拿着权限做事。

如果供应商只补提示词过滤,不补权限边界、动作确认、日志审计和数据外传控制,同一类问题还会换个游戏、换个谜题再回来。

开头那个“2+2=5”看起来荒诞。真正荒诞的是,一个网页只要让代理接受一套假规则,就可能把浏览器多年建立的隔离逻辑绕成一条捷径。此路不通,才是安全设计该有的态度。