BNB609,62 $ 0.70%BTC64 257 $ 0.99%DOGE0,088362 $ 0.02%ETH1 681 $ 1.18%XRP1,16 $ 1.90%SOL68,49 $ 1.42%BNB609,62 $ 0.70%BTC64 257 $ 0.99%DOGE0,088362 $ 0.02%ETH1 681 $ 1.18%XRP1,16 $ 1.90%SOL68,49 $ 1.42%BNB609,62 $ 0.70%BTC64 257 $ 0.99%DOGE0,088362 $ 0.02%ETH1 681 $ 1.18%XRP1,16 $ 1.90%SOL68,49 $ 1.42%
ИИ-агенты остаются уязвимы к атакам через подмену промптов

ИИ-агенты остаются уязвимы к атакам через подмену промптов

·3 мин·1 121

Новое исследование показало, что ИИ-агенты по-прежнему не защищены от так называемых атак через внедрение промптов (prompt injection). Проблема становится особенно острой на фоне массового внедрения таких систем в публичные сервисы. Для криптоиндустрии, активно интегрирующей ИИ-агентов в DeFi и торговые платформы, это представляет серьёзный риск.

Новое бенчмарковое исследование зафиксировало тревожную картину: ИИ-агенты, которые компании по всему миру активно выводят на рынок, остаются критически уязвимы к атакам типа prompt injection — подмене или внедрению вредоносных инструкций в потоки данных, обрабатываемых системой. Несмотря на быстрое развитие технологий генеративного искусственного интеллекта, эта фундаментальная проблема безопасности по-прежнему не решена.

Что такое prompt injection и почему это опасно

Атака через внедрение промптов — это метод манипуляции ИИ-системой путём встраивания скрытых инструкций в данные, которые агент получает и обрабатывает. Например, вредоносная инструкция может быть спрятана на веб-странице, в документе или письме — и агент, обрабатывая этот контент, выполнит команду злоумышленника, а не легитимного пользователя.

Для обычных чат-ботов подобная уязвимость неприятна, но управляема. Однако ИИ-агенты — это качественно иной класс систем: они не просто отвечают на вопросы, но и совершают действия в цифровом мире. Они могут отправлять электронные письма, управлять файлами, взаимодействовать с API — и, в контексте криптовалютного рынка, инициировать финансовые транзакции.

Когда ИИ-агент получает право подписывать транзакции или управлять кошельком, уязвимость к prompt injection из теоретической угрозы превращается в прямой вектор кражи средств.

Крипторынок в зоне риска

Криптовалютная индустрия оказалась в числе первых, кто начал массово интегрировать ИИ-агентов в финансовые продукты. Протоколы DeFi, торговые боты, автоматизированные системы управления портфелем — всё это уже использует агентов на основе больших языковых моделей. Ряд проектов предоставляет таким агентам прямой доступ к смарт-контрактам и криптовалютным кошелькам.

В этом контексте выводы нового исследования звучат особенно тревожно. Если злоумышленник способен подменить инструкции, которые получает торговый ИИ-агент, он потенциально может:

  • перенаправить транзакции на собственный адрес;
  • заставить агента совершить невыгодные сделки;
  • получить доступ к приватным ключам или seed-фразам через манипуляцию логикой агента;
  • использовать агента для взаимодействия с вредоносными смарт-контрактами.

Российские инвесторы, пользующиеся зарубежными DeFi-платформами с ИИ-автоматизацией, должны учитывать, что юрисдикционная защита в таких случаях фактически отсутствует — вернуть похищенные средства практически невозможно.

Гонка между атакой и защитой

Ключевая проблема заключается в архитектурной природе уязвимости. Большие языковые модели по своей сути не разграничивают «доверенные» инструкции от пользователя и «недоверенный» контент из внешней среды — для модели это просто текст. Создать надёжный барьер между этими потоками данных без фундаментального пересмотра архитектуры крайне сложно.

Разработчики предлагают различные паллиативные решения: фильтрацию входящих данных, ограничение привилегий агентов, многоуровневую верификацию действий. Однако исследования раз за разом показывают, что злоумышленники находят способы обойти эти меры. Бенчмарковые тесты, подобные упомянутому в исходном материале, фиксируют, что на момент публикации ни одна из существующих защитных методик не обеспечивает надёжной защиты.

Для российских разработчиков и компаний, работающих в сфере ИИ и крипто, ситуация добавляет дополнительный аргумент в пользу осторожного подхода к развёртыванию автономных агентов. Предоставление ИИ-системе права на финансовые операции без многоуровневого человеческого контроля — это риск, который на сегодняшний день не компенсируется никакими техническими гарантиями безопасности.

Что стоит делать инвесторам и разработчикам

До тех пор, пока проблема prompt injection не будет решена на системном уровне, эксперты рекомендуют придерживаться ряда принципов при работе с ИИ-агентами в финансовом контексте:

  1. Принцип минимальных привилегий: агент должен иметь доступ только к тем ресурсам, которые абсолютно необходимы для конкретной задачи.
  2. Обязательное подтверждение человеком для любых транзакций, превышающих минимальный порог.
  3. Аудит логов действий агента — регулярная проверка того, что именно система делала от вашего имени.
  4. Использование отдельных кошельков с ограниченным балансом специально для взаимодействия с ИИ-агентами.

Технологический прогресс в области ИИ-агентов впечатляет, однако зрелость систем безопасности явно отстаёт от скорости коммерческого внедрения. В криптовалютном пространстве, где ошибка означает невозвратную потерю средств, этот разрыв требует особого внимания.

Поделиться
Дисклеймер: Данная статья носит информационный характер и не является инвестиционной рекомендацией. Криптовалюты высоко волатильны — инвестируйте только то, что готовы потерять.

Читайте также