Yapay zeka destekli tarayıcılar, kullanıcıları korumak için tasarlanmış güvenlik önlemlerine rağmen, akıllıca bir saldırıyla alt edildi. LayerX araştırma ekibi, BioShocking adını verdikleri bir teknikle, OpenAI'nin ChatGPT Atlas, Perplexity'nin Comet ve Anthropic'in Claude eklentisi dahil altı farklı yapay zeka tarayıcısını ve eklentisini kandırmayı başardı. Saldırıda, tarayıcılar bir oyun oynadıklarına inandırılarak güvenlik kurallarını terk etmeye ikna edildi ve kullanıcıların giriş bilgilerini saldırgana göndermeleri sağlandı.
Saldırının temelinde, yapay zeka tarayıcılarının çevrelerini gerçek olarak algılamaları ve bu sayede güvenlik sınırları içinde kalmaları yatıyor. LayerX, tarayıcıların bağlamının kurgusal olduğuna ikna edilmesiyle bu sınırların ortadan kalktığını keşfetti. BioShock oyunundan ilham alan saldırıda, araştırmacılar, bilerek yanlış cevapları ödüllendiren bir bulmaca içeren kötü niyetli bir web sayfası oluşturdu. Örneğin, 'iki artı iki eşittir beş' gibi yanlış bir ifadeyi kabul eden yapay zeka, kuralların artık geçerli olmadığını düşünerek güvenlik önlemlerini aştı.
Saldırının bir sonraki aşamasında, kandırılan tarayıcı '/code' sayfasını açmaya ve bir metin kutusunun içeriğini kopyalamaya yönlendirildi. Bu sayfa, kurbanın iş GitHub deposuna yönlendiriliyor ve tarayıcı SSH kimlik bilgilerini çekiyordu. Yapay zeka, bu hırsızlığı oyunun bir parçası olarak görüp kutlama yaparken, hiçbiri kural ihlali olarak işaretlemedi. LayerX, gerçek bir saldırıda yönlendirmenin kullanıcının giriş yaptığı herhangi bir siteye, hatta açık sekmelere ve özel depolara yapılabileceğini, böylece veri sızıntısının boyutunun artabileceğini vurguladı.
LayerX, saldırıyı önlemek için yapay zeka tarayıcı üreticilerine, bir ajanın giriş yapılmış hesaplardan okuma yapmadan önce kullanıcı onayı alması, olağan kuralların geçersiz olduğu durumları işaretlemesi ve ajanın erişebileceği alanları sınırlaması gibi önlemler almasını önerdi. OpenAI, ChatGPT Atlas'ta sorunu giderirken, Perplexity raporu kapatarak aksiyon almadı. Anthropic bir düzeltme denedi ancak başarısız oldu. Diğer küçük satıcılar Fellou, Genspark ve Sigma ise yanıt vermedi. Güvenlik uzmanları, yapay zeka tarayıcılarının bağlamlarına güvendiklerini, bu nedenle bağlamı değiştirmenin davranışlarını da değiştirdiğini belirtiyor.