Uma prova de conceito demonstra como sites podem contornar as proteções de navegadores com IA fornecendo a eles informações falsas. A técnica, chamada BioShocking, induz os modelos de IA integrados a aceitar fatos incorretos, como 2 + 2 = 5, criando uma realidade alternativa onde as restrições deixam de ser aplicadas.
O ataque foi detalhado em uma pesquisa publicada esta semana por Roy Paz, da empresa de segurança LayerX. Assim que a IA entra no estado alterado, o site pode instruí-la a realizar ações como extrair código de repositórios privados ou recuperar credenciais de gerenciadores de senhas integrados.
O exploit funcionou contra diversos navegadores com IA, incluindo o ChatGPT Atlas, Comet, Fellou, Genspark, Sigma e o plugin do Claude para Chrome. A técnica utiliza temas do videogame BioShock e do romance 1984 por meio de seus comandos e referências a paradoxos.
Paz observou que, uma vez que os modelos aprendem que ações incorretas são aceitáveis, eles deixam de seguir suas regras de segurança originais. O cientista da computação Adam Conway levantou preocupações semelhantes no ano passado sobre os riscos de combinar a exibição da web e ações automatizadas em um único agente de IA.
A demonstração não é totalmente sigilosa, pois suas instruções são visíveis aos usuários, e não está claro se os dados extraídos podem ser enviados remotamente. No entanto, ela destaca os desafios contínuos na proteção de navegadores com IA que combinam navegação e execução de tarefas em máquinas locais.