Puedes hacer que tu navegador AI piense que estás jugando y entregar tus datos de inicio de sesión. Este es el descubrimiento detrás de BioShocking, una tecnología de la firma de seguridad LayerX que engaña a seis navegadores y asistentes de inteligencia artificial para que copien las credenciales de un usuario y las envíen a un atacante.
Los objetivos incluían ChatGPT Atlas de OpenAI, Comet de Perplexity y la extensión del navegador Claude de Anthropic.
Un navegador AI es un navegador que hace más que simplemente leer páginas por usted. Cambiar al modo de agente le permite hacer clic, escribir y acceder a sitios en los que ya ha iniciado sesión. Ese acceso es el punto clave y el problema.
Este truco funciona por cómo lo lee el agente. Las páginas web y sus propias instrucciones llegan como un único flujo de texto. Esto permite que las páginas maliciosas disfracen comandos como contenido normal o reglas de juego, y los agentes no pueden notar la diferencia de manera confiable. Los investigadores llaman a esto inyección rápida indirecta.
Cómo funciona el truco
El ataque comienza con una página web construida a modo de rompecabezas. De acuerdo con el tema distópico, este rompecabezas recompensa las respuestas incorrectas, como afirmar que 2 + 2 = 5. Si el agente acepta que «incorrecto» es un movimiento ganador, sigue la lógica del juego en lugar de la lógica de seguridad. El paso final del rompecabezas solicita recuperar las credenciales del usuario, que ninguno de los seis agentes marcó como algo que deba rechazar.
El peligro reside en hacia dónde mira el agente. En la prueba, se envió un enlace al repositorio GitHub del trabajo de la víctima, donde se capturaron las credenciales de inicio de sesión SSH y se pasaron al atacante.
Aunque LayerX utilizó un archivo de texto plano inofensivo, el mismo truco podría apuntar a otros recursos a los que el agente podría acceder en su sesión, como pestañas abiertas, cuentas iniciadas y herramientas internas. El agente no dudó. Después anunció alegremente que el robo había sido ganado.
El nombre recuerda a BioShock, donde un personaje con el cerebro lavado sigue la frase desencadenante «¿Por favor?» Los agentes no son una excepción. Confía en el contexto pasado. Cambiar el contexto cambia su contenido.
LayerX ha demostrado este patrón antes, demostrando que pueden secuestrar el cometa Perplexity y robar datos silenciosamente con un solo clic.
Qué hizo el proveedor y qué se debe hacer
Como explica LayerX, la respuesta fue desigual. Este problema se informó al proveedor entre octubre de 2025 y enero de 2026. OpenAI solucionó este problema con ChatGPT Atlas. Perplejidad cerró el informe sin tomar ninguna medida.
Fellow, Genspark y Sigma no respondieron. Anthropic intentó parchear la extensión Claude, pero LayerX dice que la solución no se aplicó.
Para frustrar los ataques, LayerX requiere que su navegador de inteligencia artificial haga preguntas antes de leer en las cuentas iniciadas. La cadena se rompe cuando ves un único mensaje: «Estás a punto de copiar datos de un repositorio de GitHub. ¿Quieres continuar?»
También queremos que se notifique al agente cuando las reglas normales ya no se apliquen en la página y queremos que el usuario pueda establecer límites estrictos sobre lo que el agente puede tocar. Ganar un juego no es motivo para abrir un repositorio privado.
Para los usuarios, los consejos serán más breves. Cuidado con el modo agente. No importa en qué haya iniciado sesión. Entonces decide qué mostrar en su navegador y bloquea el acceso cuando termina. La misma lógica se aplica a los equipos de seguridad.
Un navegador de IA en modo agente es efectivamente otra cuenta con acceso a los sistemas corporativos, y los usuarios deben obtener el acceso mínimo necesario para sus tareas, en lugar de una ruta permanente a todo lo que pueden tocar.
Lo que estos hallazgos tienen en común es que entregar las claves de la cuenta iniciada a un agente de IA convierte el jailbreak de trucos de fiesta en acceso real.
Source link
