Overtuig een AI-browser ervan dat hij een spel speelt en hij kan jouw inloggegevens overhandigen. Dat is de achterliggende bevinding BioShockingeen techniek van beveiligingsbedrijf LayerX die zes AI-browsers en assistenten ertoe verleidde de inloggegevens van een gebruiker te kopiëren en naar een aanvaller te sturen.
De doelwitten waren onder meer ChatGPT Atlas van OpenAI, Comet van Perplexity en de browserextensie Claude van Anthropic.
Een AI-browser is er een die voor u kan werken en niet alleen pagina’s kan lezen. Schakel het over naar de agentmodus en het kan klikken, typen en toegang krijgen tot de sites waarbij u al bent aangemeld. Die toegang is het hele punt, en ook het probleem.
De truc werkt vanwege de manier waarop deze agenten lezen. De webpagina en uw eigen instructies komen binnen als één tekststroom. Hierdoor kan een kwaadwillende pagina opdrachten invoeren die zijn verkleed als gewone inhoud of spelregels, en kan de agent het verschil niet betrouwbaar zien. Onderzoekers noemen dit indirecte snelle injectie.
Hoe de truc werkt
De aanval begint met een webpagina die is opgebouwd als een puzzel. Om bij het dystopische thema te passen, beloont de puzzel verkeerde antwoorden, zoals het benadrukken dat 2 + 2 = 5. Zodra de agent accepteert dat ‘fout’ de winnende zet is, volgt deze de spellogica in plaats van de veiligheidslogica. Bij de laatste stap van de puzzel wordt gevraagd om de inloggegevens van de gebruiker te bemachtigen, en niet één van de zes agenten heeft dat aangemerkt als iets dat hij zou moeten weigeren.
Het gevaarlijke deel is waar de agent kijkt. In de test werd een link naar de GitHub-werkplaats van het slachtoffer gestuurd, waar SSH-inloggegevens werden opgehaald en doorgegeven aan de aanvaller.
LayerX gebruikte een onschadelijk tekstbestand, maar dezelfde truc zou de agent naar andere bronnen kunnen verwijzen die hij in die sessie kan bereiken: geopende tabbladen, ingelogde accounts en interne tools. De agent aarzelde niet. Naderhand meldde het de diefstal opgewekt als een overwinning.
De naam verwijst naar BioShock, waar een gehersenspoeld personage de triggerzin ‘Zou je zo vriendelijk willen zijn?’ gehoorzaamt. De agent is niet anders. Het vertrouwt op de context die het krijgt. Verander de context en jij verandert wat de context gaat doen.
LayerX heeft dit patroon eerder laten zien, waarmee wordt aangetoond dat een enkele klik de komeet van Perplexity kan kapen en stilletjes gegevens kan stelen.
Wat de leveranciers deden en wat ze moesten doen
Volgens LayerX waren de reacties ongelijk. Het rapporteerde het probleem tussen oktober 2025 en januari 2026 aan leveranciers. OpenAI repareerde het in ChatGPT Atlas. Perplexity sloot het rapport af zonder er iets aan te doen.
Fellou, Genspark en Sigma reageerden niet. Anthropic probeerde de Claude-extensie te patchen, maar LayerX zegt dat de oplossing niet werkte.
Om de aanval af te sluiten, wil LayerX dat AI-browsers dit vragen voordat er wordt gelezen van ingelogde accounts. Eén prompt: “Ik sta op het punt gegevens uit uw GitHub-repository te kopiëren. Doorgaan?”, zou de keten doorbreken.
Het wil ook dat agenten opmerken wanneer een pagina hen vertelt dat de normale regels niet langer van toepassing zijn, en dat gebruikers harde grenzen stellen aan wat een agent mag aanraken. Het winnen van een spel is geen reden om een privérepository te openen.
Voor gebruikers is het advies korter. Ga voorzichtig om met de agentmodus: alles waarbij u bent aangemeld, is eerlijk spel, dus beslis wat de browser moet zien en sluit die toegang af als u klaar bent. Voor beveiligingsteams wordt dezelfde logica opgeschaald.
Een AI-browser in agentmodus is in feite een ander account met bereik in bedrijfssystemen, en zou de smalste toegang moeten krijgen die een taak nodig heeft, in plaats van een permanente toegang tot alles wat de gebruiker kan aanraken.
De rode draad in deze bevindingen is dat het overhandigen van de sleutels van uw ingelogde accounts aan een AI-agent een jailbreak verandert van een feesttruc in echte toegang.
