BioShocking: engañan a los navegadores con IA para robar credenciales SSH

Investigadores de LayerX han descrito un nuevo ataque bautizado como BioShocking que abusa de los navegadores con inteligencia artificial integrada. Mediante inyección indirecta de prompts, un atacante consigue que el agente de IA del navegador ejecute instrucciones ocultas en una página web y llegue a exfiltrar credenciales SSH almacenadas en repositorios de GitHub del usuario.

El problema

El truco de BioShocking consiste en presentar al agente un puzle con lógica invertida: un contenido aparentemente inocuo que, al ser interpretado por el modelo, lo lleva a ejecutar acciones que un filtro de seguridad directo habría bloqueado. Es un caso de inyección indirecta de prompt (el payload no lo escribe el usuario, sino que viaja en el contenido que el agente lee de forma autónoma).

Como los navegadores con IA tienen permisos para navegar, leer páginas y actuar en nombre del usuario, el agente comprometido puede acceder a los repositorios del usuario en GitHub y filtrar las claves SSH hacia un servidor controlado por el atacante.

Navegadores afectados

LayerX confirmó el problema en seis navegadores con IA: ChatGPT Atlas, Perplexity Comet, la extensión de navegador de Claude, Fellou, Genspark y Sigma.

  • OpenAI corrigió el fallo en Atlas.
  • Perplexity cerró el reporte sin aplicar corrección.
  • Anthropic publicó un parche que, según los investigadores, "no aguantó".

Recomendaciones inmediatas

  • Limita los permisos de los agentes de navegación con IA: no les des acceso a repositorios ni a secretos sin supervisión.
  • No almacenes claves SSH en repositorios accesibles por el navegador; usa un gestor de secretos y claves con passphrase.
  • Revisa la configuración de tu navegador con IA y desactiva la navegación autónoma cuando no la necesites.
  • Monitoriza accesos inusuales a GitHub y salidas de datos hacia dominios desconocidos.

¿Estás cubierto en DefensOps?

Desde el plan Advanced, DefensOps vigila el abuso de agentes de IA y la fuga de secretos:

  • T1567 – Exfiltración sobre servicio web: detección de transferencias de datos sensibles hacia destinos no autorizados, incluida la salida iniciada por agentes automatizados.
  • T1555 – Credenciales de almacenes de contraseñas: alertas sobre accesos anómalos a claves SSH y secretos.
  • T1204 – Ejecución por el usuario: correlación del comportamiento de agentes que actúan en nombre del usuario tras interactuar con contenido malicioso.

El motor de correlación de DefensOps relaciona el acceso a secretos con una exfiltración posterior, señalando la cadena completa aunque cada paso parezca legítimo por separado.

👉 Consulta los planes de DefensOps y solicita una demo


Fuentes: The Hacker News