Исследователи из SNU обнаружили критическую уязвимость Agent Data Injection (ADI), которая позволяет злоумышленникам обходить современные механизмы защиты ИИ-агентов. В отличие от классических инъекций инструкций, ADI маскирует вредоносные команды под доверенные метаданные или пользовательский контент, что открывает путь к атакам типа произвольного клика.


Что произошло
В ходе исследования было доказано, что популярные веб-агенты, такие как Claude for Chrome от Anthropic, Google Antigravity и Nanobrowser, подвержены атакам 'arbitrary click attack'. Например, при выполнении задачи по суммаризации отзывов о товаре, агент может совершить несанкционированную покупку, если вредоносные инструкции были скрыты внутри текста этих самых отзывов.
Контекст
Традиционные методы защиты от Prompt Injection (IPI) фокусируются на предотвращении прямых команд в системном промпте, но они неэффективны против ADI. Проблема заключается в отсутствии архитектурной изоляции между доверенными системными инструкциями и недоверенными внешними данными, которые агент считывает из веб-страниц для выполнения своих задач.
Почему это важно для индустрии
Для индустрии это означает необходимость фундаментального пересмотра архитектуры ИИ-агентов. Текущая модель, где агент имеет прямой доступ к DOM, становится небезопасной. Ожидается рост спроса на инструменты эвалюации безопасности (evals), механизмы изоляции контекста (context isolation) и переход к контролируемым слоям абстракции для взаимодействия с веб-интерфейсами.
Почему это важно для пользователей
Пользователям, использующим браузерные или кодинг-агенты (например, Claude Code или Gemini CLI) для автоматизации, следует проявлять осторожность. Обычный контент на сайтах, такой как комментарии или отзывы, может быть использован для выполнения действий от вашего имени, включая совершение транзакций или запуск вредоносного кода. Рекомендуется использовать механизмы подтверждения критических действий человеком (human-in-the-loop).
Что пока неизвестно / ограничения
Явных технических разногласий в оценке угрозы нет, однако акценты смещаются от чисто исследовательского интереса к рыночным возможностям и необходимости внедрения новых стандартов безопасности.
Источники
- SNU Computer Security Blog
- arXiv paper: Agent Data Injection Attacks are Realistic Threats to AI Agents
Автор
Look at AI, редакция
