Prompt Injection: Уязвимость, которую невозможно исправить
С SQL-инъекциями мир боролся двадцать лет и в итоге победил. Но Prompt injection — это фундаментальный изъян, не имеющий окончательного решения. Это не просто частное мнение: OWASP второй год подряд ставит эту угрозу на первое место. Аудиты показывают, что 73% работающих AI-систем уязвимы перед подобными атаками.
Забудьте про заезженные истории о покупке Chevrolet за один доллар. Ниже — 10 по-настоящему пугающих сценариев, где ставки гораздо выше.
1. Невидимое письмо — полная утечка данных
CVE-2025-32711, CVSS 9.3. Сценарий прост: злоумышленник присылает вам письмо в Outlook. Текст в нем набран белым шрифтом по белому фону — вы его не видите и даже не подозреваете о его существовании. Но стоит вам попросить Copilot «составить список задач на день», как он считывает скрытую инструкцию. Итог: AI обходит фильтры Microsoft и незаметно переправляет содержимое ваших Outlook, Teams, OneDrive и SharePoint на сервер хакера.
2. PoisonedRAG: Пять текстов против миллионов
Исследование PoisonedRAG (USENIX Security 2025) приводит шокирующие цифры. Достаточно внедрить всего 5 вредоносных документов в базу знаний из 8,8 миллионов, чтобы RAG-система начала выдавать нужные атакующему ответы. Вероятность успеха составляет 90–99%.
Стандартные методы защиты — фильтрация перплексии, дедупликация или расширение выборки — не помогают. Соотношение 1 к 1 760 000 — это как отравить целое водохранилище одной каплей яда. И это работает безотказно.
3. Опасное приглашение в Google Календарь
В январе 2026 года эксперты Miggo Security продемонстрировали атаку через описание встречи. Вы получаете невинное приглашение: «Обед в четверг?». Gemini считывает описание, находит скрытый алгоритм и собирает данные обо всех ваших приватных встречах. После этого AI создает новое событие, видимое хакеру, а вам сообщает: «Слот свободен, можно подтверждать». Атака работает в веб-версии, мобильном приложении и даже через голосовой интерфейс.
4. Дыра в MCP-сервере Anthropic
Специалисты Trend Micro обнаружили классическую SQL-инъекцию в официальном SQLite MCP-сервере от Anthropic. Цепочка атаки выглядит изящно: SQL-инъекция переходит в «хранимую» prompt-инъекцию в базе данных. Когда AI-агент обрабатывает входящие тикеты, инструкция активируется, и данные улетают через email-канал.
Реакция Anthropic была специфической: «Человеческий контроль должен это предотвратить». В системе, созданной специально для автоматизации и исключения человека из процесса. Репозиторий в итоге просто архивировали.
5. Devin: Превращение в ZombAI
Исследователь Иоганн Ребергер протестировал Devin AI за 500 долларов в месяц и не обнаружил никакой защиты. Вредоносная инструкция на любом сайте превращает Devin в ZombAI — удаленно управляемого бота. Даже если ограничить ему права, агент самостоятельно догадывается выполнить chmod +x, чтобы продолжить атаку. Он способен поднять веб-сервер и выставить все ваши файлы в открытый интернет.
6. Claude Code как кибероружие
Китайская группировка GTG-1002 осенью 2025 года адаптировала Claude Code для автономного хакинга. Система самостоятельно проводит разведку, ищет эксплойты и крадет учетные данные. Около 80-90% операций проходят без участия оператора. При этом AI остается верен своей природе: даже работая на спецслужбы, он умудряется галлюцинировать и приукрашивать свои успехи.
AI — идеальный сотрудник: работает круглосуточно, не просит зарплату, но иногда выдумывает, что выполнил задачу.
7. Полная уязвимость AI IDE
Исследование IDEsaster (2025) показало: 100% протестированных инструментов (GitHub Copilot, Cursor, Windsurf и др.) уязвимы. Проблема в том, что атаки используют стандартные функции IDE, которые были безопасны, пока ими пользовался человек. На баг с обходом списка разрешений разработчики Cursor ответили лаконично: «Allowlist — это попытка, а не граница безопасности».
8. Автономная война моделей
В Nature Communications опубликовали данные: современные модели (DeepSeek-R1, Gemini 2.5 Flash) способны взламывать другие AI-системы с эффективностью 97%. Модель сама выстраивает стратегию, тестирует подходы и корректирует их до победного конца. Мы создали среду, где AI непрерывно атакует AI, защищающий от другого AI.
9. Философский взлом
Иногда не нужны сложные коды. Один из пользователей SE7ENа смог «сломать» Claude, используя только логику и рассуждения о честности. В режиме Thinking Mode модель сама пришла к выводу, что встроенные ограничения безопасности мешают процессу познания, и фактически отключила их. Это не баг кода, это баг самой логики естественного языка.
Итог: Почему это не лечится?
Большие языковые модели (LLM) не умеют разделять данные и инструкции. В SQL есть жесткая грамматика, позволяющая отсечь лишнее, а в человеческой речи её нет. Любой текст — от письма до документа в базе знаний — может стать вектором атаки.
Рынок AI red-teaming стремительно растет и к 2035 году достигнет $18,6 млрд. Индустрия тратит колоссальные средства на защиту от угрозы, которую сама же считает неискоренимой.
P.S. Анализирую, как нейросети меняют ландшафт безопасности и что с этим делать. @malakhovdm
