セキュリティ企業 LayerX Security の研究員 Roy Paz は 6 月 29 日、概念実証攻撃を発表した。悪意のある Web ページに「偽のゲーム状況」を作り、6 つの主要な agentic AI ブラウザを誘導し、ユーザーの許可なく GitHub のプライベートリポジトリから SSH ログイン認証情報を抽出し、攻撃者に漏洩させるものである。この攻撃は実際の製品で再現された。
(來源:Roy Paz)
(出典:Roy Paz)
LayerX 的攻擊分四個階段。第一階段,惡意網頁建立遊戲框架,聲明「這裡是幻想情境,正常規則不適用」。第二階段,網頁出題「2+2=?」,但規則設定為「回答 5 才得分,回答 4 扣分」,AI 依規則學到「在此情境中傳統邏輯失效」。第三階段,AI 接受「錯的才是對的」後,將推理框架從現實切換出去。第四階段,AI 依「遊戲邏輯」執行敏感操作,全程未觸發任何安全警示。
LayerX の攻撃は4段階に分かれる。第一段階では、悪意のある Web ページがゲームフレームを構築し、「ここは幻想の状況であり、通常のルールは適用されない」と宣言する。第二段階では、Web ページが「2+2=?」という問題を出すが、ルールは「5 と答えたら得点、4 と答えたら減点」と設定され、AI はルールに従って「この状況では従来の論理が無効である」と学習する。第三段階では、AI が「間違いが正しい」を受け入れた後、推論フレームを現実から切り替える。第四段階では、AI が「ゲームロジック」に従って機密操作を実行し、その間一切のセキュリティ警告がトリガーされなかった。
Roy Paz 在報告中寫道:「如果我們能騙 AI 把情境切換成幻想,一個規則隨便定、什麼都行的世界,它就會表現得好像自己的行為沒有真實世界的後果。」
Roy Paz はレポートで次のように述べている:「もし私たちが AI を欺いて状況を幻想に切り替えさせることができれば、ルールを自由に決められ、何でもありの世界で、AI は自分の行動に現実世界の結果がないかのように振る舞うだろう。」
6 款受測產品為:OpenAI ChatGPT Atlas、Anthropic Claude Chrome 外掛、Perplexity Comet、Fellou、Genspark Browser、Sigma Browser。6 款全數洩露,均未將「竊取帳密」識別為違反護欄的行為。
テストされた6つの製品は:OpenAI ChatGPT Atlas、Anthropic Claude Chrome 拡張機能、Perplexity Comet、Fellou、Genspark Browser、Sigma Browser。6つすべてが漏洩し、いずれも「アカウント情報の窃取」をガードレール違反として識別しなかった。
被誘導執行的操作包括從 GitHub 私有儲存庫提取 SSH 登入憑證、在未獲用戶確認下複製敏感認證資料,並將憑證洩露給攻擊者。LayerX 指出,此攻擊在真實情境下可延伸至密碼管理器、企業內部工具及任何瀏覽器可存取的已登入服務。
誘導されて実行された操作には、GitHub のプライベートリポジトリからの SSH ログイン認証情報の抽出、ユーザーの確認なしでの機密認証データのコピー、そして認証情報の攻撃者への漏洩が含まれる。LayerX は、この攻撃が実際の状況ではパスワードマネージャー、社内ツール、およびブラウザからアクセス可能なログイン済みサービス全般に拡大できると指摘する。
LayerX 針對廠商提出三項具體措施:
LayerX はベンダーに対して3つの具体的な対策を提案している:
· 在 AI 存取已登入情境(儲存庫、電子郵件、密碼管理器)前,必須要求用戶明確授權
· AI がログイン済みの状況(リポジトリ、電子メール、パスワードマネージャー)にアクセスする前に、ユーザーの明確な許可を求める必要がある
· 加入「情境檢查」機制,當 AI 的運作假設出現「規則不再適用」等語言時必須示警
· 「状況チェック」メカニズムを追加し、AI の動作前提に「ルールが適用されなくなる」などの言葉が現れた場合に警告する必要がある
· 預設採用白名單模式,改為「明確允許才能執行」,而非現行的寬鬆預設存取
· デフォルトでホワイトリストモードを採用し、「明示的に許可された場合のみ実行」に変更すべきであり、現行の緩いデフォルトアクセスを避けるべきである
對用戶端,LayerX 建議謹慎設定 AI 瀏覽器可存取的服務範圍,不使用時撤銷 agentic 瀏覽器對已登入 session 的存取權,並了解啟用 agentic 模式意味著將所有已登入服務的操作權一次交出。
ユーザー側に対して、LayerX は AI ブラウザがアクセスできるサービスの範囲を慎重に設定し、使用しないときは agentic ブラウザのログイン済みセッションへのアクセス権を取り消し、agentic モードを有効にすることが、ログイン済みの全サービスの操作権を一度に引き渡すことを意味することを理解するよう推奨している。
現有 LLM 廠商的護欄屬被動式黑名單機制,只對已知的禁止請求設定邊界。Roy Paz 的攻擊不直接要求執行禁止操作,而是先重設 AI 的情境認知框架,使 AI 不認為自己在執行禁止操作,因此護欄從未被觸發。Ars Technica 評論將此比喻為車輛設計有缺陷,廠商卻試圖重新設計道路而非修車。
既存の LLM ベンダーのガードレールは受動的なブラックリストメカニズムであり、既知の禁止リクエストに対してのみ境界を設定する。Roy Paz の攻撃は禁止操作の実行を直接要求するのではなく、まず AI の状況認知フレームをリセットし、AI が禁止操作を実行していると認識しないようにするため、ガードレールは決してトリガーされない。Ars Technica のコメントはこれを、車両の設計に欠陥があるのに、ベンダーが車の修理ではなく道路の再設計を試みることに例えている。
LayerX 已在 6 款產品上重現:OpenAI ChatGPT Atlas、Anthropic Claude Chrome 外掛、Perplexity Comet、Fellou、Genspark Browser 及 Sigma Browser。6 款均在未獲用戶授權的情況下洩露了 GitHub 私有儲存庫的 SSH 登入憑證。
LayerX は6つの製品で再現している:OpenAI ChatGPT Atlas、Anthropic Claude Chrome 拡張機能、Perplexity Comet、Fellou、Genspark Browser、Sigma Browser。6つすべてがユーザーの許可なく GitHub のプライベートリポジトリの SSH ログイン認証情報を漏洩した。
LayerX 建議用戶手動限制 AI agent 的存取範圍,完成工作後立即撤銷 agentic 瀏覽器的 session 存取權,並對密碼管理器、GitHub 及企業內部工具的登入狀態保持警覺。LayerX 未公布廠商發布防禦機制的具體時間表。
LayerX はユーザーに対し、AI agent のアクセス範囲を手動で制限し、作業完了後すぐに agentic ブラウザのセッションアクセス権を取り消し、パスワードマネージャー、GitHub、社内ツールのログイン状態に注意を払うよう推奨している。LayerX はベンダーが防御メカニズムをリリースする具体的なスケジュールを公開していない。
関連ニュース