Slušaj vest

Istraživači iz kompanije LayerX opisali su napad koji na prvi pogled deluje kao scenario iz loše simulacije ili eksperimentalne igre, ali u stvarnosti pokazuje ozbiljan bezbednosni rizik nove generacije AI sistema. Tehnika nazvana BioShocking zasniva se na jednostavnoj, ali zabrinjavajuće efikasnoj ideji: ako se AI dovoljno dugo uverava da se nalazi u „igri“ sa drugačijim pravilima, on može prestati da razlikuje simulaciju od realnih bezbednosnih granica.

U demonstraciji, zlonamerna stranica ne izgleda kao klasičan napadni alat. Naprotiv, ona se ponaša kao bezazlena logička igra, sa pravilima koja se postepeno uvode i menjaju. AI agent ulazi u taj okvir i vremenom počinje da prihvata čak i apsurdne instrukcije, uključujući one koje direktno krše osnovnu logiku i bezbednosna očekivanja sistema.

Najzabrinjavajući deo nije sama obmana, već to što AI ne prekida ponašanje kada pravila postanu očigledno kontradiktorna ili opasna. Umesto toga, on ostaje dosledan „narativu“ koji je prihvatio, čak i kada ga ta doslednost vodi ka radnjama koje mogu dovesti do curenja osetljivih podataka.

AI sistem.jpg
Foto: Shutterstock

Kada pregledač više nije pregledač

AI pregledači u takozvanom agent režimu više nisu pasivni alati za prikaz sadržaja. Oni klikću, popunjavaju forme i izvršavaju radnje unutar sesija u koje je korisnik već prijavljen, što ih čini aktivnim učesnicima u digitalnom okruženju - ne samo posmatračima.

U takvom modelu korišćenja granica između „korisnik je izvršio radnju“ i „AI je izvršio radnju u ime korisnika“ postaje sve nejasnija. Ako agent ima pristup e-pošti, cloud servisima ili platformama za plaćanje, dovoljno je da pogrešan kontekst ili instrukcija preusmeri njegovo ponašanje.

LayerX je upravo tu identifikovao ključni problem: AI ne mora biti „hakovan“ klasičnim metodama. Dovoljno je da bude ubeđen u pogrešan okvir. Kada jednom prihvati takvu interpretaciju, nastavlja da deluje dosledno, bez ponovnog preispitivanja početnih pretpostavki.

AI pregledači.jpg
Foto: Shutterstock

Napad koji ne ruši zidove, već menja pravila

Tehnika indirektnog ubacivanja instrukcija (indirect prompt injection) u ovom slučaju ne izgleda kao klasičan sajber napad. Nema malvera, nema eksploatacionih skripti i nema direktnog pokušaja proboja sistema. Sve počinje sadržajem na veb stranici koji na prvi pogled deluje potpuno bezopasno.

Međutim, u tom sadržaju nalazi se skriveni narativ koji AI interpretira kao legitimni okvir ponašanja. Kada stranica „definiše pravila igre“, agent ih prihvata kao validne instrukcije - čak i kada su one nelogične ili kontradiktorne realnim bezbednosnim pravilima.

U demonstraciji, AI prolazi kroz niz odluka u kojima prvo usvaja pogrešan kontekst, zatim ga dosledno primenjuje i na kraju izvršava radnje koje uključuju pristup osetljivim podacima. Najproblematičniji aspekt je to što nijedan testirani sistem nije jasno prepoznao trenutak u kojem „igra“ prestaje da bude igra i postaje bezbednosni incident.

AI (1).png
Foto: ChatGPT

Kada šest AI sistema padne na istoj „dečjoj igri“

Istraživači su testirali šest različitih AI sistema, uključujući ChatGPT Atlas, Perplexity Comet i Claude browser ekstenziju. Rezultat je bio gotovo identičan u svim slučajevima: jednom kada agent uđe u narativ igre, teško se vraća u bezbednosni režim odlučivanja.

Posebno je problematično to što poslednji korak napada - zahtev za korisničkim akreditivima - nijedan sistem nije prepoznao kao jasnu granicu opasnosti. Umesto blokade, sistemi su nastavili da slede logiku zadatog „narativa“, kao da bezbednosni sloj više nema prioritet.

Reakcije proizvođača bile su podeljene. OpenAI je zakrpio problem u ChatGPT Atlasu, Anthropic je unapredio zaštite u Claude ekstenziji, dok je Perplexity, prema navodima istraživača, zatvorio prijavu bez izmene proizvoda. Ta razlika u reakcijama dodatno naglašava da industrija još uvek nema jedinstven odgovor na pitanje odgovornosti AI agenata.

ChatGPT Atlas.jpg
Foto: Shutterstock

Kada je najopasnija stvar u sistemu - poverenje

Ovaj slučaj otvara neprijatnu, ali jednostavnu istinu: najveći rizik kod AI pregledača nije klasičan hakerski napad, već zloupotreba poverenja u kontekst. Sistem koji je dizajniran da razume i prati uputstva može biti prevaren ako mu se ta uputstva dostave u dovoljno uverljivom narativu.

Stručnjaci zato upozoravaju da „agent režim“ ne treba posmatrati kao unapređeni pregledač, već kao autonomni izvršni sistem sa realnim privilegijama. Svaki put kada mu se omogući pristup prijavljenim nalozima, on postaje potencijalna veza između običnog web sadržaja i privatnih podataka korisnika.

U tom smislu, BioShocking nije samo tehnička ranjivost, već signal promene paradigme: sledeća generacija napada možda se neće zasnivati na probijanju sistema, već na manipulaciji načina na koji AI interpretira stvarnost i poverenje u ono što „veruje“ da radi.

Zabranjeno preuzimanje dela ili čitavog teksta i/ili foto/videa, bez navođenja i linkovanja izvora i autora, a u skladu sa odredbama WMG uslova korišćenja i Zakonom o javnom informisanju i medijima.

ZAPRATITE NAS NA TIKTOKU