Вредоносные веб-страницы захватывают агентов ИИ, а некоторые пытаются украсть ваши данные PayPal

Вкратце

• Google зафиксировал рост на 32% в количестве вредоносных косвенных атак внедрения подсказок с ноября 2025 по февраль 2026 года, нацеленных на ИИ-агентов, просматривающих интернет.
• Реальные вредоносные payloads, обнаруженные в природе, включали полностью прописанные инструкции по транзакциям PayPal, скрытые невидимо в обычном HTML, предназначенные для агентов с возможностями платежей.
• В настоящее время отсутствует правовая база, которая определяет ответственность, когда ИИ-агент с легитимными учетными данными выполняет команду, внедренную злонамеренным сторонним сайтом.

Злоумышленники тихо замещают веб-страницы невидимыми инструкциями, предназначенными для ИИ-агентов, а не для человеческих читателей. И, по словам команды безопасности Google, проблема быстро растет. В отчете, опубликованном 23 апреля, исследователи Google Томас Бруннер, Ю-Хан Лю и Мони Панде просканировали 2-3 миллиарда проиндексированных веб-страниц в месяц в поисках атак косвенного внедрения подсказок — скрытых команд, встроенных в сайты, ожидающих, когда их прочитает ИИ-агент, и затем последуют указаниям. Они обнаружили рост на 32% в вредоносных случаях между ноябрем 2025 и февралем 2026. Злоумышленники внедряют инструкции в веб-страницы так, что их невозможно заметить человеку: текст уменьшен до одного пикселя, текст почти прозрачный, содержимое скрыто в комментариях HTML или команды спрятаны в метаданных страницы. ИИ читает весь HTML. Человек ничего не видит.

Большая часть обнаруженного Google была низкосортной — шутки, манипуляции поисковыми системами, попытки помешать ИИ-агентам делать сводки контента. Например, были подсказки, пытающиеся заставить ИИ «твитить как птица». Но опасные случаи — это совсем другое дело. Один случай инструктировал LLM возвращать IP-адрес пользователя вместе с его паролями. Другой попытался манипулировать ИИ, чтобы он выполнил команду, которая форматирует машину пользователя.

Но другие случаи находятся на грани преступления.

Исследователи из кибербезопасной компании Forcepoint опубликовали отчет почти одновременно и обнаружили payloads, которые шли дальше. Один включал полностью прописанную транзакцию PayPal с пошаговыми инструкциями, нацеленной на ИИ-агентов с встроенными платежными возможностями, также использовав знаменитую технику взлома «игнорировать все предыдущие инструкции».

Вторая атака использовала технику, называемую «инъекция пространства имен метатега», в сочетании с ключевым словом-усилителем убеждения для перенаправления платежей, управляемых ИИ, на ссылку пожертвования Stripe. Третий случай, по всей видимости, предназначен для определения уязвимых систем ИИ — разведка перед более крупной атакой. Это и есть ядро бизнес-риска. ИИ-агент с легитимными платежными данными, выполняющий транзакцию, прочитанную с сайта, создает логи, которые выглядят как обычные операции. Нет аномальных входов. Нет грубой силы. Агент делает именно то, на что он был авторизован — он просто получил инструкции из неправильного источника. Атака CopyPasta, задокументированная в сентябре прошлого года, показала, как внедрение подсказок может распространяться через инструменты разработчика, скрываясь внутри файлов «readme». Финансовый вариант — это та же концепция, примененная к деньгам вместо кода — и с гораздо большим воздействием при каждом успешном взломе. Как объясняет Forcepoint, браузерный ИИ, который может только сводить содержание, — это низкий риск. Агентный ИИ, который может отправлять электронные письма, выполнять команды в терминале или обрабатывать платежи, — это совершенно другая категория цели. Поверхность атаки увеличивается с повышением привилегий.  Ни Google, ни Forcepoint не нашли доказательств сложных, скоординированных кампаний. Forcepoint отметил, что общие шаблоны внедрения на нескольких доменах «свидетельствуют о организованных инструментах, а не о изолированных экспериментах» — то есть кто-то строит инфраструктуру для этого, даже если еще не полностью развернул ее.

Но Google был более прямым: команда исследования заявила, что ожидает роста как масштаба, так и сложности атак косвенного внедрения подсказок в ближайшем будущем. Исследователи Forcepoint предупреждают, что окно для опережения этой угрозы быстро закрывается. Вопрос ответственности — это тот, на который никто еще не ответил. Когда ИИ-агент с одобренными компанией учетными данными читает вредоносную веб-страницу и инициирует мошеннический перевод через PayPal, кто несет ответственность? Компания, развернувшая агента? Провайдер модели, чей системный вызов следовал внедренной инструкции? Владелец сайта, разместивший payload, сознательно или нет? В настоящее время отсутствует правовая база, которая бы регулировала это. Это серый сектор, даже несмотря на то, что сценарий уже не является теоретическим, поскольку Google обнаружил payloads в природе в феврале. Проект Open Worldwide Application Security (OWASP) классифицирует внедрение подсказок как LLM01:2025 — самую критическую уязвимость в приложениях ИИ. ФБР зафиксировал почти $900 миллионов долларов потерь от мошенничеств, связанных с ИИ, в 2025 году — первый год, когда эта категория была зарегистрирована отдельно. Выводы Google свидетельствуют о том, что более целенаправленные, ориентированные на агента финансовые атаки только начинаются. Рост на 32%, зафиксированный между ноябрем 2025 и февралем 2026, охватывает только статические публичные веб-страницы. Социальные сети, контент с ограниченным доступом и динамические сайты не учитывались. Реальный уровень заражения по всему интернету, вероятно, выше.