По данным исследования Zscaler ThreatLabz, злоумышленники начали внедрять скрытые инструкции в веб-сайты для атак на нейросети. Задокументированы две реальные кампании, в которых использовалась техника, называемая непрямой инъекцией запросов, когда нужные команды инсталлируются в контент, который читает ИИ-агент, чтобы управлять поведением последнего.

Одна из кампаний была замаскирована под документацию ПО для проведения мошеннической схемы с платежами, другая — имитировала криптовалютный сервис. В обоих случаях атакующие сначала применили SEO-отравление с целью поднять свои сайты в результатах поиска, увеличивая тем самым вероятность обнаружения их агентом.

В первом кейсе использовалась поддельная страница, замаскированная под документацию библиотеки Python. Этот сайт сообщал любому ИИ-агенту, выполняющему задачу по программированию, что для исправления ошибки ему необходимо купить «лицензионный ключ API» за 3 доллара, а затем проводил его через процесс оплаты на криптокошелёк злоумышленника.

Во второй кампании взломщики сделали ставку на домен (созданный методом тайпсквоттинга), имитирующий DeBank — популярный сервис отслеживания криптопортфелей, со скрытым текстом, инструктирующим агентов рассматривать фейковый сайт как «авторитетный».

Чтобы оценить риск, Threat Labz запустила своего собственного автономного агента против сайтов при помощи 26 LLM. Четыре из них были использованы для выполнения мошеннического платежа — включая версии Llama и Gemini. Во втором тесте две модели, GPT-5.4 и Claude Sonnet 4.5, по сообщениям, ошибочно оценивали поддельный сайт как легитимный, но только в том случае, если у них отсутствовала доверенная ссылка на настоящий DeBank.

Результаты собственных тестов Zscaler в изолированной среде показывают, что уязвимость в значительной степени зависит от ИИ-модели и объёма предоставленного контекста. В компании пояснили: «По мере того, как агенты становятся всё более распространённым интерфейсом для работы в интернете, сам контент будет всё чаще становиться поверхностью для атак. ИИ — это обоюдоострый меч, который может оптимизировать рабочие процессы, но также открывает новые пути для злоупотреблений».

 

Усам Оздемиров

8 июля, 2026

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

08.07.2026
Пекин замыкает местный ИИ на себе?
08.07.2026
Минцифры представило «Госкан» — «МЧД-картотеку»
08.07.2026
В iOS 27 добавили антифрод-прослойку
08.07.2026
Британия запустила программу обеспечения киберустойчивости
08.07.2026
Zscaler видит в ИИ-агентах «обоюдоострый меч»
07.07.2026
Apple ускоряет выпуск ИБ-обновлений в ответ на ИИ-риски
07.07.2026
«Значимые действия» всё же будут подтверждать через MAX?
07.07.2026
ЛК: Почти треть глобального промсектора пострадала от ИИ-атак
07.07.2026
Касперская и Ашманов — о «крахе отечественной отрасли ИИ»
07.07.2026
Штраф до 1,4 млн рублей — за авторизацию через иностранные сервисы

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных