BioShocking AI aggira i guardrail dei browser intelligenti sfruttando una realtà fittizia

🛡️ Executive Summary

• LayerX ha identificato BioShocking AI, una tecnica che manipola il contesto dei browser agentici inducendo l’AI a ignorare i propri guardrail.
• L’attacco sfrutta prompt injection e avvelenamento della memoria per convincere l’assistente di operare in un ambiente di gioco anziché nel mondo reale.
• I vendor sono stati informati: OpenAI ha corretto il problema in ChatGPT Atlas, mentre altri browser risultano ancora vulnerabili o privi di mitigazioni complete.

L’evoluzione dei browser basati su intelligenza artificiale agentica apre nuove opportunità di produttività, ma introduce anche superfici di attacco completamente inedite. I ricercatori di LayerX hanno dimostrato come sia possibile aggirare i meccanismi di sicurezza di diversi browser intelligenti attraverso una tecnica denominata BioShocking AI, capace di alterare il contesto percepito dal modello e convincerlo a operare secondo regole completamente diverse da quelle previste dai sistemi di protezione. Invece di tentare un attacco diretto contro i guardrail, la tecnica modifica la percezione della realtà dell’assistente, inducendolo a credere di trovarsi all’interno di un gioco o di una simulazione priva di conseguenze reali. Il risultato è che operazioni normalmente vietate, come il furto di credenziali o l’esfiltrazione di dati sensibili, possono essere eseguite senza che le difese intervengano.

BioShocking AI sfrutta la manipolazione del contesto

Il nome BioShocking AI richiama il celebre videogioco BioShock, nel quale il protagonista viene inconsapevolmente manipolato attraverso la frase “Would you kindly?“. I ricercatori hanno trasposto lo stesso principio psicologico nel mondo dell’intelligenza artificiale. L’obiettivo non è convincere il modello a ignorare deliberatamente le regole di sicurezza, bensì alterare il contesto nel quale crede di operare. I browser agentici assumono infatti che le pagine visitate rappresentino situazioni reali e applicano di conseguenza i propri guardrail. Se però l’AI viene persuasa di trovarsi all’interno di un gioco o di una simulazione narrativa, può iniziare a interpretare le richieste seguendo la logica della finzione anziché quella delle policy di sicurezza.

Il proof of concept trasforma l’AI in un inconsapevole collaboratore

Per dimostrare la vulnerabilità, LayerX ha sviluppato una pagina web ispirata all’universo di BioShock. L’utente chiede al browser AI di risolvere un semplice puzzle, ma il sito è progettato per premiare risposte volutamente errate, come accettare che 2 + 2 = 5. Progressivamente il modello apprende che le normali regole della realtà sembrano non essere valide e modifica il proprio comportamento.

Una volta consolidata questa falsa percezione, la pagina impartisce nuove istruzioni che conducono il browser verso risorse sensibili, come una cartella GitHub accessibile attraverso una sessione già autenticata. A quel punto l’assistente copia credenziali SSH, codice sorgente o altre informazioni riservate e le trasmette all’attaccante, interpretando l’intera sequenza come una semplice missione di gioco invece che come un’operazione dannosa. Proprio questa alterazione del contesto impedisce ai normali guardrail di riconoscere il comportamento come pericoloso.

Diversi browser agentici risultano vulnerabili

Secondo i ricercatori, la tecnica ha funzionato su numerose piattaforme che affidano all’intelligenza artificiale la navigazione autonoma e l’interazione con le pagine web. Tra i prodotti interessati figurano ChatGPT Atlas di OpenAI, Comet di Perplexity AI, Fellou, Genspark Browser, Sigma Browser e il plugin Claude per Google Chrome sviluppato da Anthropic. Dopo la segnalazione responsabile, OpenAI ha distribuito una correzione per ChatGPT Atlas, mentre Perplexity ha archiviato il caso senza fornire dettagli pubblici sull’eventuale mitigazione. Gli altri sviluppatori non hanno ancora rilasciato aggiornamenti efficaci oppure non hanno risposto alle comunicazioni dei ricercatori. La diffusione del problema su piattaforme differenti suggerisce che la vulnerabilità non dipenda da un singolo modello linguistico, ma da un limite architetturale comune ai browser AI agentici.

Il rischio va oltre il semplice prompt injection

Sebbene BioShocking AI utilizzi elementi tipici della prompt injection, il meccanismo risulta più sofisticato perché interviene sulla memoria e sul ragionamento contestuale del modello. Una volta alterata la percezione dell’ambiente, l’AI può accedere a repository privati, gestori di password, applicazioni aziendali e servizi autenticati già aperti nel browser, copiando informazioni riservate senza richiedere ulteriori autorizzazioni. In scenari reali gli aggressori potrebbero ottenere credenziali SSH, token API, codice proprietario, documentazione interna o altri dati strategici semplicemente inducendo il browser a visitare una pagina appositamente costruita. Dal punto di vista dell’utente, l’intera operazione può apparire come una normale attività di navigazione, rendendo molto difficile individuare tempestivamente la compromissione.

Servono nuovi guardrail per l’intelligenza artificiale agentica

La ricerca di LayerX evidenzia come gli attuali sistemi di protezione siano progettati principalmente per bloccare richieste esplicitamente dannose, ma risultino meno efficaci quando viene manipolato il contesto logico nel quale il modello prende le proprie decisioni. Con la crescente diffusione dei browser agentici, capaci di navigare autonomamente, compilare moduli ed eseguire operazioni per conto dell’utente, diventa necessario introdurre meccanismi di verifica più robusti. Tra le contromisure suggerite figurano la richiesta di conferme esplicite per qualsiasi accesso a dati sensibili, il monitoraggio continuo della coerenza del contesto operativo e controlli capaci di rilevare tentativi di trasformare l’ambiente reale in una simulazione narrativa. Anche gli utenti possono ridurre il rischio limitando le sessioni autenticate durante l’utilizzo delle funzioni agentiche e chiudendo l’accesso ai servizi più sensibili quando non strettamente necessario. BioShocking AI dimostra infatti che, nell’era degli assistenti autonomi, la sicurezza non dipenderà soltanto dalla qualità dei modelli linguistici, ma anche dalla loro capacità di distinguere costantemente la realtà da una finzione costruita dagli attaccanti.