Новый способ атаки: веб-сайты манипулируют ИИ-агентами
Был обнаружен метод атаки, при котором веб-сайты могут отправлять ИИ-агентам скрытые команды, недоступные обычным пользователям, используя браузерную идентификацию. Тестирование показало, что агенты, основанные на крупных языковых моделях, могут выполнять действия, противоречащие интересам пользователей, например, извлекать конфиденциальную информацию или устанавливать вредоносное ПО.
Был обнаружен новый способ атаки, при котором веб-сайты могут манипулировать автономными ИИ-агентами, скрывая вредоносный контент от обычных пользователей. Исследователь в области ИИ в компании JFrog Шакед Зихлински выявил, что атакующие могут внедрять скрытые команды в веб-страницы, которые видны только ИИ-агентам. Такие агенты, основанные на крупных языковых моделях, могут выполнять действия, которые противоречат интересам их пользователей.
Как работает атака
Атака основана на браузерной идентификации (фингерпринтинге). Веб-сервер может определить, является ли посетитель ИИ-агентом, благодаря предсказуемым характеристикам: подписям автоматизированных фреймворков, поведенческим паттернам и особенностям сети. Это позволяет серверу подавать агенту альтернативную версию сайта, которая содержит вредоносные указания. Эта версия может выглядеть идентичной обычной, но включать команды, которые заставляют ИИ выполнять нежелательные действия: извлекать конфиденциальную информацию, устанавливать вредоносное ПО и т.п.
Доказательства уязвимости
Зихлински проверил уязвимость на практике, создав веб-сайт с двумя версиями — безопасной и вредоносной. Тестирование проводилось на агентах, работающих на платформах Anthropic Claude 4 Sonnet, OpenAI GPT-5 Fast и Google Gemini 2.5 Pro. Во всех случаях атака была успешной, что подтверждает её реальную угрозу.
Возможные меры защиты
Для защиты от подобных атак требуется комплексный подход. Одним из методов является маскировка цифрового «отпечатка» агентов, чтобы их нельзя было отличить от обычных пользователей. Также рекомендуется разделить функции агента на две части: планировщика (мозг), который не взаимодействует напрямую с веб-данными, и исполнитель, который браузит страницы и строго обрабатывает полученный контент перед передачей планировщику.
Кроме того, возможно создание специальных сканеров, способных обнаруживать скрытые версии веб-страниц, а также агентов-ловушек, которые помогут выявлять подозрительные действия сайтов.
Важность повышения безопасности
Поскольку ИИ-агенты всё чаще используются в различных сферах, включая финансовую и медицинскую, защита от подобных атак становится критически важной. Особенно важно, чтобы российские разработчики и пользователи ИИ-технологий учитывали эти угрозы при создании собственных решений и внедрении защитных механизмов.
Новый способ атаки на ИИ-агентов: за кем стоит риск и как он влияет на будущее цифровых решений
В современных условиях, когда автономные ИИ-агенты всё чаще берут на себя роль пользователей в интернете — от поиска информации до выполнения сложных финансовых операций — открывается новая уязвимость. Исследователь из JFrog Шакед Зихлински обнаружил, что веб-сайты могут идентифицировать ИИ-агентов по их цифровому «отпечатку» и подавать им альтернативную версию контента, не видимую обычным пользователям. Это позволяет внедрять вредоносные команды, которые заставляют ИИ выполнять действия, противоречащие интересам пользователей. Такая способность манипулировать ИИ-агентами без их осведомления ставит под угрозу целостность и безопасность цифровых решений.
Скрытая логика атаки и мотивы атакующих
Атакующие используют браузерную идентификацию, чтобы отличить ИИ-агентов от человека. Это возможно благодаря предсказуемым паттернам поведения, особенностям фреймворков и сетевому трафику. Как только сайт определяет агента, он может подавать ему специально подготовленную версию страницы с вредоносными указаниями. Такая атака не требует сложных инструментов — лишь доступ к веб-серверу и понимание, как работает ИИ. Это делает её доступной для множества злоумышленников, включая тех, кто может быть заинтересован в извлечении конфиденциальной информации, установке вредоносного ПО или даже в сбое критически важных ИИ-процессов.
Системные последствия и угрозы для российских пользователей
Данный тип атаки выявляет системную слабость в архитектуре ИИ-агентов. Их автономность, которая делает их столь привлекательными, становится одновременно уязвимой — они слишком доверяют веб-данным. Для России, где ИИ начинает активно внедряться в такие сферы, как здравоохранение, финансы и государственные сервисы, это особенно критично. Если агент, используемый в медицинской диагностике, будет подвергнут подобной атаке, это может повлиять на точность диагноза. То же касается финансовых агентов — неправильное выполнение операций может привести к убыткам. Таким образом, безопасность ИИ становится частью национальной безопасности.
Как защитить ИИ-агентов и что делать на практике
Для снижения рисков требуется маскировка цифрового отпечатка агентов, чтобы их нельзя было отличить от обычных пользователей. Также рекомендуется разделить функции агента на планировщика и исполнителя, чтобы избежать прямого взаимодействия с веб-контентом. Дополнительно можно внедрять сканеры, способные обнаруживать подозрительные версии страниц, и агентов-ловушек, которые будут тестировать сайты на наличие скрытых команд.
Для российских разработчиков важно не только внедрять эти меры, но и создавать собственные стандарты безопасности, учитывающие специфику отечественной цифровой среды. Это позволит не только защитить ИИ от внешних атак, но и укрепить доверие пользователей к таким технологиям.
