Команда безпеки Google виявила шкідливі інструкції, призначені для злому ШІ-агентів
Створити обліковий запис, щоб зберегти свої статті.Додати в GoogleДодайте Decrypt як своє улюблене джерело, щоб бачити більше наших історій у Google.
Коротко
- Google зафіксував 32% сплеск зловмисних атак непрямого впровадження підказок між листопадом 2025 та лютим 2026 року, націлених на ШІ-агентів, що переглядають веб.
- Серед реальних шкідливих навантажень, виявлених у мережі, були повністю специфіковані інструкції щодо транзакцій PayPal, невидимо вбудовані у звичайний HTML, призначені для агентів з платіжними можливостями.
- Наразі не існує правової бази, яка б визначала відповідальність, коли ШІ-агент з легітимними обліковими даними виконує команду, встановлену зловмисним веб-сайтом третьої сторони.
Зловмисники тихо встановлюють пастки на веб-сторінках з невидимими інструкціями, призначеними для ШІ-агентів, а не для людей. І, за даними команди безпеки Google, ця проблема стрімко зростає.
У звіті, опублікованому 23 квітня, дослідники Google Томас Бруннер, Ю-Хан Лю та Моні Панде сканували від 2 до 3 мільярдів веб-сторінок на місяць, шукаючи атаки непрямого впровадження підказок — приховані команди, вбудовані в веб-сайти, які чекають, доки ШІ-агент їх прочитає, а потім виконає накази. Вони виявили 32% сплеск зловмисних випадків між листопадом 2025 та лютим 2026 року.
Зловмисники вбудовують інструкції на веб-сторінку способами, невидимими для людей: текст, зменшений до одного пікселя, текст, майже прозорий, вміст, прихований у розділах коментарів HTML, або команди, поховані в метаданих сторінки. ШІ читає повний HTML. Людина нічого не бачить.
Більшість виявленого Google була низькопробною — витівки, маніпуляції з пошуковими системами, спроби запобігти узагальненню контенту ШІ-агентами. Наприклад, були підказки, які намагалися змусити ШІ “твітити як пташка”.
Але небезпечні випадки — це зовсім інша історія. Один випадок інструктував велику мовну модель (LLM) повернути IP-адресу користувача разом з його паролями. Інший випадок намагався маніпулювати ШІ, щоб той виконав команду, яка форматує машину користувача ШІ.
Але інші випадки межують зі злочинними.
Дослідники з фірми з кібербезпеки Forcepoint майже одночасно опублікували звіт, у якому виявили шкідливі навантаження, що пішли далі. Одне з них містило повністю специфіковану транзакцію PayPal з покроковими інструкціями, націленими на ШІ-агентів з інтегрованими платіжними можливостями, також використовуючи відому техніку “ігноруй усі попередні інструкції” (jailbreak).
Друга атака використовувала техніку “впровадження простору імен мета-тегів” у поєднанні з ключовим словом-підсилювачем переконання для перенаправлення платежів, керованих ШІ, на посилання для пожертв Stripe. Третя, здавалося, була розроблена для дослідження того, які ШІ-системи насправді вразливі — розвідка перед більш серйозним ударом.
Це основа корпоративного ризику. ШІ-агент з легітимними платіжними даними, що виконує транзакцію, яку він зчитує з веб-сайту, створює журнали, які виглядають ідентично звичайним операціям. Немає аномального входу. Жодного брутфорсу. Агент зробив саме те, що йому було дозволено — він просто отримав свої інструкції з неправильного джерела.
Атака CopyPasta, задокументована минулого вересня, показала, як впровадження підказок може поширюватися через інструменти розробки, ховаючись у файлах “readme”. Фінансова версія — це та сама концепція, застосована до грошей замість коду, і зі значно вищим впливом на успішний удар.
Як пояснює Forcepoint, браузерний ШІ, який може лише узагальнювати контент, становить низький ризик. Агентний ШІ, який може надсилати електронні листи, виконувати команди терміналу або обробляти платежі, є ціллю зовсім іншої категорії. Поверхня атаки масштабується зі зростанням привілеїв.
Ні Google, ні Forcepoint не виявили доказів складних, скоординованих кампаній. Forcepoint зазначив, що спільні шаблони впровадження на кількох доменах “вказують на організовані інструменти, а не на ізольовані експерименти” — це означає, що хтось будує інфраструктуру для цього, навіть якщо вона ще не повністю розгорнута.
Але Google був більш прямим: команда дослідників заявила, що очікує зростання як масштабу, так і витонченості непрямих атак впровадження підказок у найближчому майбутньому. Дослідники Forcepoint попереджають, що вікно для випередження цієї загрози швидко зачиняється.
Питання відповідальності — це те, на яке ніхто ще не відповів. Коли ШІ-агент із схваленими компанією обліковими даними читає зловмисну веб-сторінку та ініціює шахрайський переказ PayPal, хто несе відповідальність? Підприємство, яке розгорнуло агента? Постачальник моделі, чия система дотримувалася введеної інструкції? Власник веб-сайту, який розмістив шкідливе навантаження, свідомо чи несвідомо? Жодна правова база наразі це не охоплює. Це “сіра зона”, хоча сценарій більше не є теоретичним, оскільки Google знайшов шкідливі навантаження у мережі цього лютого.
Open Worldwide Application Security Project класифікує впровадження підказок як LLM01:2025 — найкритичніший клас вразливостей у додатках штучного інтелекту. ФБР відстежило майже 900 мільйонів доларів збитків від шахрайства, пов’язаного зі ШІ, у 2025 році, його перший рік, коли ця категорія була внесена окремо. Висновки Google свідчать про те, що більш цілеспрямовані, специфічні для агентів фінансові атаки тільки починаються.
32% збільшення, виміряне між листопадом 2025 та лютим 2026 року, охоплює лише статичні загальнодоступні веб-сторінки. Соціальні мережі, контент за логін-стіною та динамічні сайти не входили до сфери дослідження. Фактичний рівень зараження у всьому інтернеті, ймовірно, вищий.
Погляд Crypto Top: Зростання зловмисних атак на ШІ-агентів, які діють в Інтернеті, підкреслює критичну потребу в децентралізованих протоколах безпеки, що може стимулювати розробку та впровадження токенів, орієнтованих на безпеку ШІ та Web3. Ця тенденція може призвести до створення нових механізмів довіри та перевірки в межах децентралізованих екосистем, де безпека ШІ стає пріоритетом.
Джерело: decrypt.co