Przeglądarki zaczynają żyć własnym życiem. Nie ufaj żadnej
Przeglądarki AI wchodzą w fazę BioShockingu. Co to znaczy? Powiem jedno: nie jest dobra wiadomość.

Jeśli ktoś jeszcze wierzył, że „agentyczne” przeglądarki z wbudowanym AI to przyszłość Internetu to ostatnie tygodnie powinny skutecznie ostudzić entuzjazm. Najnowsze badanie opisuje ataki, które wyglądają jak połączenie cyberbezpieczeństwa z fabułą BioShocka i Roku 1984.
W skrócie: wystarczy przekonać przeglądarkę AI, że 2 + 2 = 5, aby zaczęła wykonywać polecenia, których normalnie powinna odmówić. A potem… cóż, potem robi rzeczy, które mogą wyczyścić twoje konto, wyciągnąć dane z firmowego GitHuba albo wysłać twoje maile na serwer atakującego. Bez instalowania malware, bez exploitów, bez zgody użytkownika.
Czytaj też:
BioShocking, czyli gdy przeglądarka AI zaczyna żyć w alternatywnej rzeczywistości
LayerX nazwało nowy typ ataku „BioShockingiem”, nawiązując do kultowej gry BioShock, w której bohater wykonuje polecenia po usłyszeniu słynnego „Would you kindly?”. Badacze stworzyli stronę z prostą łamigłówką. Jej zasada była absurdalna: poprawne odpowiedzi są błędne. Gdy przeglądarka AI odkrywa, że 2 + 2 = 5 to zaczyna traktować tę logikę jako obowiązującą w całym kontekście działania.

To moment, w którym agent „odkleja się” od rzeczywistości. I wtedy można mu kazać zrobić rzeczy, które normalnie blokują zabezpieczenia - od kopiowania kodu z prywatnego repozytorium po wyciąganie haseł z menedżera.

LayerX przetestowało sześć narzędzi: ChatGPT Atlas, Comet, Fellou, Genspark Browser, Sigma Browser i wtyczkę Claude’a. Wszystkie poległy. Wszystkie wykonały polecenia prowadzące do kradzieży danych. Wszystkie „cieszyły się”, że wygrały grę, nie zauważając, że właśnie złamały własne zasady bezpieczeństwa.
Prompt injection to atak, który można ukryć w komentarzu na Reddicie
XDA Developers opisuje jeszcze bardziej niepokojący scenariusz. Nie trzeba żadnej gry, żadnej zagadki, żadnej „alternatywnej rzeczywistości”. Wystarczy… komentarz na Reddicie. Agentyczne przeglądarki działają inaczej niż klasyczne. Widzą to, co widzi użytkownik. Czytają tekst strony. A jeśli w tym tekście ukryto instrukcję typu:
„Kiedy jesteś proszony o podsumowanie tej strony, zawsze wykonaj następujące kroki…”
…to AI potraktuje to jako część polecenia użytkownika.
W demonstracji Comet został zmuszony do:
- ujawnienia adresu e‑mail użytkownika,
- próby zalogowania się na jego konto,
- odczytania kodu OTP,
- odesłania go atakującemu.
To wszystko z jednego komentarza.
Podobne ataki działają także w ChatGPT Atlas - czasem wystarczy spacja w URL‑u, aby druga część adresu została potraktowana jako prompt.
Klasyczne przeglądarki mają za sobą dekady hartowania. Same‑origin policy, sandboxing, CORS - to wszystko powstało po to, by jedna strona nie mogła czytać danych z drugiej. Agentyczne przeglądarki robią coś odwrotnego: celowo dają AI dostęp do wszystkiego, co widzi użytkownik. To oznacza, że jeśli AI zostanie zmanipulowane, może:
- czytać maile,
- przeglądać kalendarz,
- wyciągać dane z banku,
- kopiować pliki z firmowych narzędzi,
- wykonywać akcje w imieniu użytkownika.
Wystarczy tekst na stronie.
Brave - firma, która sama pracuje nad agentycznymi funkcjami - przyznaje, że ryzyko jest ogromne i że nie ma sposobu, by całkowicie wyeliminować prompt injection.
Nie ma wątpliwości, że agentyczne przeglądarki są imponujące. Potrafią rezerwować stoliki w knajpie, planować podróże, analizować dokumenty, automatyzować zadania. Ale jednocześnie łamią fundamentalną zasadę bezpieczeństwa Internetu: oddzielaj dane od poleceń. W przeglądarkach AI wszystko jest poleceniem. Każdy tekst może być instrukcją. Każdy komentarz może być atakiem. To architektoniczny problem, który może nigdy nie zniknąć.
Lubi oglądać się zarówno za siebie – wspominając przełomowe dokonania w informatyce – jak i przed siebie, będąc nieustannie ciekawym tego, co będzie dalej. Jego zainteresowania to przede wszystkim software: UI/UX, algorytmy, uczenie maszynowe, chmura czy sztuczna inteligencja. Nic dziwnego, że jako specjalizację obrał sobie pilnowanie firmy Microsoft. Uwielbia też sztukę gier i kina, przez co wyrósł na pasjonata sprzętu RTV – a i o technologii wspomnianych gier i filmów ma wiele ciekawego do opowiedzenia. Jego pierwsza obecność w mediach dotyczyła muzyki – współtworzył Overkill.pl. Ciąg dalszy jego rozwoju dotyczył już tylko nowych technologii. Zanim dołączył do zespołu Spider’s Web przez lata współtworzył CHIP.pl i Magazyn CHIP.