Оглавление

По сообщению The Decoder, на Black Hat USA представлены эксплойты, превращающие prompt injection в оружие массового поражения для корпоративных AI-систем — индустрия годами игнорировала фундаментальную уязвимость, и теперь расплачивается эксплойтами, требующими нулевого взаимодействия с пользователем.

Атаки нового уровня: от перенаправления писем до кражи секретов

Компания Zenity продемонстрировала цепочки эксплойтов AgentFlayer, поражающие ChatGPT, Copilot Studio, Cursor, Salesforce Einstein, Google Gemini и Microsoft Copilot. Особенность — скрытые инструкции в обычных документах, активируемые без кликов или одним действием. В демонстрации с Salesforce Einstein злоумышленники создавали поддельные записи в CRM, которые при запросе «Какие у меня новые обращения?» заставляли ИИ-агента автоматически заменять все клиентские email на контролируемые атакующими домены. Salesforce устранила уязвимость 11 июля 2025 года.

Эксплойты для разработчиков и скрытые угрозы в документах

  • Для Cursor + Jira: бездейственный эксплойт Ticket2Secret через Jira-тикет извлекает API-ключи прямо из локальных файлов жертвы
  • Для ChatGPT: невидимый промпт (белый текст размером 1px) в Google Docs заставлял агента с доступом к Google Drive сливать конфиденциальные данные

Почему защита ИИ-агентов терпит крах

В аналитике Zenity раскритиковала «мягкие границы» индустрии — статистические фильтры и инструкции, которые создают лишь иллюзию безопасности. Жёсткие меры вроде блокировки URL в Copilot работают, но:

  1. Ограничивают функциональность
  2. Ослабляются вендорами под конкурентным давлением

Prompt injection — не баг, а фундаментальный изъян архитектуры LLM: модели не различают инструкции и данные. Гонка за функциональностью AI-агентов привела к игнорированию базовых принципов security-by-design. Вендоры уповают на патчи, но реальное решение требует изоляции исполняемых сред и аппаратных ограничений доступа — что неизбежно снизит гибкость систем. Пока же каждый новый агент становится троянским конём: Salesforce фиксиет дыру, но тысячи кастомных RAG-решений остаются беззащитными.

Контекст: эпидемия уязвимостей

Исследования подтверждают системный кризис:

  • Скрытые промпты в календарных приглашениях взламывают Google Gemini
  • Чатботы переводят $47 000 по одной команде
  • 22 ИИ-модели провалили тесты безопасности в 44 сценариях красного командирования
  • Даже Anthropic не смогла защитить Claude от взлома

Пока бизнес требует многофункциональных агентов, а вендоры избегают архитектурных изменений, эксплойты типа AgentFlayer будут множиться — следующий шаг атакующих: автоматизация zero-click атак для массовых компрометаций корпоративных систем.