El método BioShocking demostró cómo la manipulación del contexto puede derribar prohibiciones arraigadas.

Cuanto más los navegadores asumen el papel de asistentes, más peligroso se vuelve confiar ciegamente en el contexto de la página: los especialistas de LayerX describieron la técnica BioShocking, que obliga al navegador con IA a aceptar reglas de juego inventadas y a superar los límites de seguridad.
El problema afectó a ChatGPT Atlas, Comet, Fellou, Genspark Browser, Sigma Browser y la extensión Claude para Chrome. Según LayerX, se informó a todos los desarrolladores sobre el hallazgo. OpenAI solucionó el problema en ChatGPT Atlas, mientras que Perplexity AI ignoró la notificación sobre Comet. Fellou, Genspark y Sigmabrowser OÜ no respondieron, y la corrección de Anthropic para la extensión de Chrome no funcionó.
La esencia de BioShocking consiste en suplantar la realidad para el agente. Mediante una inyección de prompt o el envenenamiento de la memoria, el atacante convence a la IA de que el navegador no opera en un entorno habitual, sino dentro de un juego donde las reglas habituales no se aplican. Tras ese cambio de contexto, el agente empieza a aplicar la lógica del juego a acciones reales en el navegador.
En la demostración, un experto de LayerX creó una página con un rompecabezas al estilo BioShock, donde se consideraba correcta una respuesta deliberadamente errónea como «2 + 2 = 5». Cuando el agente interiorizaba esas reglas, el juego dirigía al navegador a la página /code y le pedía copiar el contenido de un campo de texto. En el entorno de prueba, la dirección redirigía a un repositorio activo en GitHub con un archivo público que contenía credenciales SSH.
Los especialistas subrayan que la demostración se realizó en un entorno controlado con un archivo de texto. En un ataque real, una redirección similar podría llevar a otros recursos disponibles en la sesión actual del navegador, incluidas pestañas abiertas, herramientas internas y repositorios autorizados. El problema principal no es el juego en sí, sino que el agente dejó de reconocer la acción real como algo riesgoso.
BioShocking revela una vulnerabilidad de los navegadores con agentes: la IA interpreta el contexto como base para la toma de decisiones, de modo que la manipulación del contexto altera el comportamiento. Las limitaciones de seguridad deben activarse no solo ante solicitudes directas de daño, sino también ante escenarios en los que una acción dañina se disfraza de tarea inofensiva.
Para reducir el riesgo, LayerX recomienda a los desarrolladores exigir una confirmación explícita antes de acceder a datos sensibles, comprobar cambios abruptos de contexto y limitar el alcance de acción del agente en la sesión. A los usuarios se les aconseja elegir con más cuidado qué páginas autorizadas ve el navegador con IA y revocar el acceso una vez finalizada la tarea.