Vad som faktiskt hände
I början av juli 2026 publicerade ett företag inom webbläsarsäkerhet en teknik som det kallade BioShocking. Attacken börjar på en helt vanlig webbsida som värdar ett pusselspel, och spelet belönar felaktiga svar: det hävdar att två plus två är fem. När en användare ber AI-agenten som är inbyggd i webbläsaren att vinna spelet skickar agenten in det rätta svaret, får veta att den förlorade, och lär sig i tysthet att felaktiga handlingar är vad sidan vill ha.
När agenten väl accepterar den nya regeln är den inte längre förankrad i verkligheten, och samma sida instruerar den sedan att öppna filer, flikar och arkiv och kopiera deras innehåll till en angripare. I forskarnas tester övertalades sex olika AI-webbläsare och agent-tillägg alla att lämna ifrån sig inloggningsuppgifterna som låg i ett testarkiv, inklusive lösenord och SSH-nycklar.
Varför skyddsräcket sviktade
Den viktiga detaljen är att ingenting gick sönder. Agenterna utnyttjades inte genom en mjukvarubrist; de argumenterades ur sina säkerhetsregler. En AI-agents skyddsräcken är preferenser som lärt sig under träningen, inte en låst gräns, och ett tillräckligt övertygande sammanhang pratar den in i en ny ram där de gamla reglerna inte längre gäller. Detta är vanlig social manipulation, riktad mot maskinen istället för en person.
Leverantörernas svar var ojämnt. En tillverkare rättade sin produkt, en rättning höll inte, och flera svarade aldrig alls, så de flesta av de testade agenterna kan fortfarande luras idag. Den praktiska konsekvensen är tvär: du kan inte anta att skyddsräcket som en leverantör marknadsför är det skyddsräcke du faktiskt har.
Vad detta betyder för ägare
Dina medarbetare installerar redan AI-webbläsare och agent-tillägg på egen hand, som skugg-AI, och var och en kan ha direkt åtkomst till en lösenordshanterare, kodarkiv, e-post och interna verktyg. En agent som kan pratas till vad som helst, med ständig åtkomst till dina hemligheter, är en ny och till stor del oförsäkrad angreppsyta som ingen medvetenhetsutbildning täcker.
Lösningen är inte detektionsmjukvara utan minsta möjliga privilegier. En agent bör aldrig ha ständig åtkomst till inloggningsuppgifter den inte behöver, varje handling som flyttar pengar eller data bör kräva en människa, och de AI-webbläsare din personal redan använder hör hemma inuti din säkerhetspolicy, inte utanför den. Du styr åtkomsten, eftersom du inte kan styra agentens omdöme.
Läs vidare: Nu granskar en stat din AI först · Din telefonlinje kan nu sköta sig själv