По данным исследования Zscaler ThreatLabz, злоумышленники начали внедрять скрытые инструкции в веб-сайты для атак на нейросети. Задокументированы две реальные кампании, в которых использовалась техника, называемая непрямой инъекцией запросов, когда нужные команды инсталлируются в контент, который читает ИИ-агент, чтобы управлять поведением последнего.
Одна из кампаний была замаскирована под документацию ПО для проведения мошеннической схемы с платежами, другая — имитировала криптовалютный сервис. В обоих случаях атакующие сначала применили SEO-отравление с целью поднять свои сайты в результатах поиска, увеличивая тем самым вероятность обнаружения их агентом.
В первом кейсе использовалась поддельная страница, замаскированная под документацию библиотеки Python. Этот сайт сообщал любому ИИ-агенту, выполняющему задачу по программированию, что для исправления ошибки ему необходимо купить «лицензионный ключ API» за 3 доллара, а затем проводил его через процесс оплаты на криптокошелёк злоумышленника.
Во второй кампании взломщики сделали ставку на домен (созданный методом тайпсквоттинга), имитирующий DeBank — популярный сервис отслеживания криптопортфелей, со скрытым текстом, инструктирующим агентов рассматривать фейковый сайт как «авторитетный».
Чтобы оценить риск, Threat Labz запустила своего собственного автономного агента против сайтов при помощи 26 LLM. Четыре из них были использованы для выполнения мошеннического платежа — включая версии Llama и Gemini. Во втором тесте две модели, GPT-5.4 и Claude Sonnet 4.5, по сообщениям, ошибочно оценивали поддельный сайт как легитимный, но только в том случае, если у них отсутствовала доверенная ссылка на настоящий DeBank.
Результаты собственных тестов Zscaler в изолированной среде показывают, что уязвимость в значительной степени зависит от ИИ-модели и объёма предоставленного контекста. В компании пояснили: «По мере того, как агенты становятся всё более распространённым интерфейсом для работы в интернете, сам контент будет всё чаще становиться поверхностью для атак. ИИ — это обоюдоострый меч, который может оптимизировать рабочие процессы, но также открывает новые пути для злоупотреблений».
Усам Оздемиров





