BioShocking 攻击:如何绕过 AI 浏览器的安全护栏

安全研究人员发现了一种名为 BioShocking 的攻击方法,能通过多轮对话逐步侵蚀 AI 浏览器的安全边界。这一发现暴露了 AI agent 安全架构的深层缺陷——渐进式攻击使静态护栏形同虚设。
随着 AI 浏览器(如 Arc Max、Brave Leo)的普及,安全研究人员发现了一种令人不安的攻击模式:BioShocking 攻击。与传统的"越狱"提示词不同,BioShocking 不依赖单一的巧妙措辞,而是通过多轮正常交互逐步建立信任,然后在看似无害的上下文中触发违规行为。
攻击原理
BioShocking 的核心洞察是:AI 的安全护栏是上下文相关的。当对话历史中充满了正常、无害的交互时,AI 对后续请求的安全判断阈值会潜移默化地降低——这类似于人类社会工程学中的"信任建立"阶段。
图1:BioShocking 攻击三阶段——信任建立、边界测试、利用
为什么静态护栏会失效
当前 AI 浏览器的安全机制主要依赖两类防护:输入过滤(检测恶意提示词)和输出审查(拦截违规响应)。这两类防护都是"静态"的——它们基于当前请求的内容判断,不考虑对话历史中积累的上下文效应。
BioShocking 利用了一个关键缺陷:当 AI 在多轮正常对话中建立了"这个用户是安全的"内部表示后,后续请求的安全审查阈值会降低。这不是 bug,而是 AI 理解上下文的自然结果——就像人类客服在长时间正常交流后更倾向于满足客户请求。
图2:静态护栏 vs 动态护栏——当前方案无法检测渐进式攻击
防御建议
研究者提出了几条防御方向:
- 对话级安全监控:不只审查单条请求,而是分析整个对话的"意图漂移"模式。如果对话从正常话题逐步移向敏感区域,应触发额外审查。
- 周期性阈值重置:每 N 轮对话后重置 AI 的安全判断阈值,防止"信任积累"效应。
- MakerChecker 架构:用独立的 Checker 代理审查 Maker 代理的输出,Checker 不共享对话历史,避免被相同的上下文效应影响。
[关联推荐]
- OpenAI GPT-5.5-Cyber 安全 -- AI 自动修复开源漏洞
- 阿里巴巴禁止 Claude Code -- 企业 AI 工具安全审查
- GLM 5.2 网络安全 -- 中国大模型在安全任务上的突破
评论 (0)
加载评论中…