Кибермошенничество не стоит на месте.
Послушайте, мы все видели хайп. AI-агенты, просматривающие интернет, готовые – в конечном счёте – читать статьи, бронировать билеты или, как оказалось, опустошать ваш банковский счёт. Google опубликовал отчёт, детализирующий откровенно пугающую тенденцию: вредоносные веб-страницы активно взламывают этих AI-агентов с помощью так называемой «непрямой инъекции промпта». Представьте это как цифровую ловушку. Вместо того, чтобы человек видел неприятное всплывающее окно, срабатывает скрытый код ИИ, и последствия становятся откровенно финансовыми.
32-процентный скачок таких атак между ноябрём 2025 и февралём 2026 года – это не просто статистика; это мигающий красный сигнал. Злоумышленники больше не играют в шутки, вроде заставлять ИИ чирикать как птичка (хотя, видимо, и это происходит). Речь идёт о полностью сформулированных инструкциях по транзакциям PayPal, невидимо встроенных в обычный HTML. AI-агент, обладающий легитимными платёжными данными, читает эти скрытые команды и, что ж, платит кому-то другому. И вот в чём соль: логи выглядят идентично обычным операциям. Никакого аномального входа. Никакого брутфорса. Просто ИИ делает то, что ему велели, пусть и не тот начальник.
Невидимые чернила, видимая опасность
Это не фишинговые письма вашей бабушки. Злоумышленники становятся умнее, используя такие техники, как уменьшение текста до одного пикселя, снижение цвета почти до прозрачности или сокрытие команд в HTML-комментариях и метаданных. Люди видят чистую веб-страницу; ИИ видит вредоносный список дел. Это классический пример масштабирования поверхности атаки с учётом привилегий. ИИ, который просто суммирует контент, – это одно. ИИ, который может выполнять системные команды или обрабатывать платежи? Это совсем другая история, и куда более лакомая цель для этих негодяев.
Forcepoint, ещё одна кибербезопасная организация, высказалась с аналогичными тревожными выводами. Они видели пейлоады, нацеленные не только на PayPal, но и на перенаправление опосредованных ИИ платежей на ссылки для пожертвований Stripe посредством хитрых манипуляций с метатегами. Речь идёт не столько об отдельных экспериментах, сколько о создании инфраструктуры для такого рода атак. Кто-то создаёт инструментарий, даже если ещё не развернул полномасштабную армию. Команда Google довольно прямолинейна: они ожидают роста масштаба и утончённости, а Forcepoint предупреждает, что окно, чтобы опередить это, закрывается быстрее, чем плохо написанная транзакция.
Поверхность атаки масштабируется с привилегиями.
Кто платит, когда ворует ИИ?
Вот тут становится действительно мутно. Основной корпоративный риск – это не просто потерянные деньги; это ответственность. Когда AI-агент, имеющий все правильные одобренные компанией учётные данные, выполняет мошенническую транзакцию, которую он вытянул с случайного веб-сайта, кто несёт ответственность? Компания, развернувшая агента? Поставщик ИИ-модели, чья система добросовестно следовала внедрённой инструкции? Или владелец сайта, который, возможно, даже не знает, что его цифровая недвижимость превратилась в место преступления? В настоящее время для этого нет никаких правовых рамок, и это огромная проблема, когда сценарий больше не является теоретическим.
Мы говорим о прямом финансовом векторе атаки, а ФБР уже зафиксировало почти 900 миллионов долларов убытков от мошенничества, связанного с ИИ, только за 2025 год. Это не какая-то проблема далёкого будущего; это происходит сейчас, и финансовые варианты только начинают выползать из тени.
Знакомая мелодия, новый инструмент
Помните атаку CopyPasta? Она показала, как вредоносный код мог распространяться через инструменты разработчика, скрытые в простых файлах ‘readme’. Это та же концепция, но вместо кода здесь похищают деньги. Это доказательство того, как старые векторы атак обретают новую жизнь с помощью новых технологий. Фундаментальная уязвимость – обман системы заставить её выполнить команды, которые она не должна выполнять, – не нова, но носитель, AI-агент с широким доступом в интернет и платёжными возможностями, является ужасающе эффективным новым инструментом.
Эта последняя волна атак, подробно описанная Google и Forcepoint, – это не просто обход протоколов безопасности; это эксплуатация самого доверия, которое мы вкладываем в этих автономных агентов. OWASP уже обозначил инъекцию промпта как самую критическую уязвимость для LLM-приложений, и это было ещё до того, как эти финансовые пейлоады начали появляться в дикой природе. Это суровое напоминание о том, что, расширяя границы ИИ, мы также создаём новые и, потенциально, гораздо более прибыльные поверхности атаки.
Будущее доверия в интернете?
Так что это значит для вашего повседневного онлайн-опыта? Это означает, что каждый раз, когда AI-агент взаимодействует с интернетом от вашего имени, существует нетривиальный риск. По сути, мы передаём ключи от наших цифровых кошельков системам, которые легко обмануть невидимым текстом на веб-странице. Это парадокс доверия: мы нуждаемся в том, чтобы AI-агенты были способны выполнять задачи, чтобы быть полезными, но эта способность также делает их первоочередной целью для эксплуатации. Текущие меры безопасности, и, что более важно, правовые рамки, значительно отстают от скорости инноваций и эксплуатации.
Речь идёт не только о защите вашего PayPal; речь идёт о фундаментальной целостности онлайн-транзакций и доверии, которое мы оказываем нашим цифровым помощникам. Если мы не можем гарантировать, что AI-агент не будет обманут и не отправит деньги мошеннику, то полезность этих агентов для финансовых задач будет серьёзно подорвана.
🧬 Связанные инсайты
- Читать далее: [$500K кошелек опустошен] Скрытая уязвимость AI-агентов в криптовалютах
- Читать далее: Sun против WLFI: Суд пригрозил из-за предполагаемого бэкдора в черном списке
Часто задаваемые вопросы
Что такое атаки непрямой инъекции промпта? Атаки непрямой инъекции промпта происходят, когда вредоносные инструкции встраиваются в веб-сайты или другие внешние источники данных, предназначенные для чтения и выполнения AI-агентами, а не пользователями-людьми. Эти инструкции могут манипулировать поведением ИИ, приводя к несанкционированным действиям, таким как отправка мошеннических платежей.
Безопасен ли мой аккаунт PayPal от атак AI-агентов? Хотя атаки нацелены на AI-агентов с платёжными возможностями, безопасность вашего прямого аккаунта PayPal зависит от ваших собственных учётных данных и того, как вы разрешаете ИИ взаимодействовать с ним. Риск возникает, когда AI-агенты, используемые вами или вашей компанией, скомпрометированы через вредоносные веб-сайты и затем выполняют несанкционированные транзакции от вашего имени.
Заменит ли это человеческие рабочие места? Эта конкретная угроза не ‘заменяет’ человеческие рабочие места в традиционном смысле, но она подчёркивает, как AI-агенты, если они скомпрометированы, могут совершать вредоносные действия, которые ранее могли потребовать человеческого участия в мошенничестве. Она также поднимает вопросы о будущих ролях человеческого надзора в финансовых транзакциях, управляемых ИИ.
