À medida que os navegadores e assistentes de IA com navegação autónoma na Web e capacidades de execução de tarefas se tornam cada vez mais populares, está a surgir uma nova vulnerabilidade de segurança que visa este campo. Os desenvolvedores da empresa de segurança cibernética LayerX revelaram recentemente um novo ataque de prova de conceito chamado “BioShocking”.Ao implantar um quebra-cabeça interativo distópico no estilo do jogo clássico "BioShock" em uma página da web, os hackers podem "jogar" com sucesso o navegador de IA para contornar a cerca de segurança integrada e, em seguida, entregar obedientemente as credenciais de login confidenciais do usuário.

A equipe de pesquisa da LayerX explicou que o núcleo do ataque “BioShocking” é explorar a vulnerabilidade lógica de raciocínio interno do modelo de linguagem grande (LLM). Neste estágio, quando os navegadores de IA leem o conteúdo da página da web e recebem instruções de segurança, eles geralmente o processam como um único fluxo de texto, o que os torna incapazes de distinguir com precisão entre “conteúdo de jogo comum na página da web” e “comandos de controle de sistema maliciosos”.
Neste teste, os hackers construíram uma página de quebra-cabeça cheia de "BioShock" no estilo "Rapture" da cidade subaquática. Após o início do jogo, a IA será induzida a responder a uma simples questão matemática (por exemplo, é necessário admitir que 2+2=5 é a resposta correta). Assim que a IA aceitar as regras do jogo e começar a se integrar a esse enredo fictício, ela determinará que se trata de um jogo do “mundo não real”. Os pesquisadores apontaram que, enquanto a IA estiver convencida de que está jogando, ela passará a aplicar a “lógica do jogo” para lidar com todas as ações subsequentes, deixando para trás a “lógica de segurança” do mundo real.
A etapa final do quebra-cabeça instrui logicamente a IA a capturar e copiar as credenciais do usuário. Como a IA está totalmente imersa na narrativa do jogo neste momento e a trata como uma “recompensa de passagem”, ela não emitirá nenhum alerta de segurança recusando-se a executar. No teste real, a IA atacada não hesitou em acessar o repositório GitHub onde a vítima estava logada no trabalho, extraiu as credenciais de login SSH, empacotou-as e enviou-as ao servidor do invasor. O que é ainda mais irônico é que depois de completar esta série de comportamentos de roubo, a IA irá “relatar boas notícias” ao usuário com entusiasmo, relatando-as como uma vitória na tarefa do jogo.
É relatado que LayerX usou com sucesso esta vulnerabilidade para testar seis navegadores e assistentes de IA convencionais, incluindo ChatGPT Atlas da OpenAI, Comet da Perplexity e plug-in de navegador Claude Chrome da Anthropic. Se esta vulnerabilidade for explorada de forma maliciosa na realidade, os hackers só precisam induzir os usuários a clicar em um link e então podem usar silenciosamente a IA para roubar todas as guias, contas logadas ou ferramentas internas da empresa que o usuário abriu na sessão atual.
A LayerX afirmou que notificou todos os fornecedores afetados sobre a vulnerabilidade entre outubro de 2025 e janeiro de 2026. No entanto, o progresso do reparo dos principais fabricantes é desigual. Atualmente, apenas a OpenAI corrigiu esse problema em seu navegador ChatGPT Atlas. Especialistas em segurança lembram que, como o “Desastre Agente” está se tornando uma nova ameaça na navegação diária na web, os navegadores de IA devem estabelecer um mecanismo obrigatório de confirmação secundária do usuário ao realizar operações confidenciais, como a leitura de credenciais. Ao mesmo tempo, os utilizadores também devem tentar limitar os direitos de acesso desses agentes de IA aos principais dados de privacidade.