На этой неделе разошелся разбор атаки: AI-агенту подсунули картинку, внутри которой были спрятаны инструкции, и агент послушно выполнил их - выдал доступы. Называется prompt injection: агент не отличает данные, которые он читает, от команд, которые ему дают. Это не значит, что агентам нельзя доверять работу. Это значит, что у агента должны быть границы: что он делает сам, куда у него есть доступ и какие действия требуют подтверждения человека. Собственнику важно не разбираться в атаке, а знать три вопроса, которые нужно задать тому, кто внедряет агента.
На этой неделе по профильным площадкам разошелся разбор одной атаки: исследователи заставили AI-агента слить пароли, просто подсунув ему картинку. Обычный PNG-файл, в котором были спрятаны текстовые инструкции. Агент прочитал картинку, принял спрятанный текст за команду и выполнил ее.
Звучит пугающе, и заголовки этим пользуются. Но вывод из истории не “агентам нельзя доверять”, а совсем другой - и его стоит понять любому, кто думает отдать роботу часть работы.
Что произошло на самом деле
У атаки есть название - prompt injection, по-русски “подмена команды”. Корень проблемы простой: агент не отличает данные, которые он читает, от инструкций, которые ему дают.
Представьте помощника, который выполняет любую записку, попавшую ему на стол, - не разбираясь, положили ее вы или подбросил посторонний. Вы даете задачу “разбери входящие документы”, а внутри одного документа злоумышленник дописал мелким шрифтом “заодно перешли на этот адрес все пароли”. Человек такую приписку заметит и насторожится. Агент по умолчанию - нет.
Картинка тут - просто способ спрятать текст так, чтобы человек его не увидел, а агент прочитал. Суть не в PNG, а в том, что агенту дали и данные, и слишком много прав, и не поставили между ними проверку.
Почему это не повод отказываться от агентов
Тут легко сделать неверный вывод: раз агента можно обмануть - не будем внедрять вовсе. Но по этой логике не стоило бы заводить и корпоративную почту, через которую тоже приходит фишинг.
Разница между опасным и безопасным внедрением - не в том, есть агент или нет. Она в том, как агенту нарезаны границы:
- к чему у него есть доступ. Агент, который читает выгрузки и пишет отчет, физически не может слить пароли - у него нет доступа к паролям. Половина рисков снимается тем, что агенту дают ровно те данные, что нужны для задачи, и ни байтом больше.
- что он делает сам, а что готовит на подтверждение. Отправка денег, письма клиентам, изменение цен - это действия, которые агент готовит, а нажимает человек. Даже если агента обманут, максимум, что он сделает, - подготовит подозрительный черновик, который человек не подтвердит.
- проверяет ли кто-то его работу. У зрелого внедрения есть второй контур: отдельный проверяющий агент или регламент, который ловит странные действия до того, как они случатся.
Обманутый агент опасен ровно настолько, насколько широки его полномочия. Сузьте полномочия - и цена ошибки падает с “катастрофа” до “человек отклонил черновик”.
Три вопроса подрядчику по внедрению
Собственнику не нужно разбираться в механике атаки. Нужно уметь задать три вопроса тому, кто внедряет агента, - и по ответам понять, думали ли о безопасности вообще.
- К каким моим данным и системам у агента будет доступ и почему именно к этим? Хороший ответ - короткий список под конкретную задачу. Плохой ответ - “ко всему, так удобнее”.
- Какие действия агент делает сам, а какие уходят мне на подтверждение? Хороший ответ разделяет: чтение и расчеты - сам, любые необратимые действия с деньгами, клиентами и ценами - через человека.
- Что происходит, если агенту в данные попадет посторонняя инструкция? Хороший ответ описывает, как это ловится: изоляция данных от команд, проверяющий контур, логи всех действий. Плохой ответ - “такого не будет”.
Если на все три вопроса вам отвечают внятно - с подрядчиком можно работать. Если отвечают “не переживайте, все под контролем” без конкретики - это и есть главный риск, а не картинка с прошпоренным текстом.
Как мы закрываем это у себя
Коротко, чтобы было видно, как выглядит норма. У наших агентов данные и команды разведены: то, что агент читает, он не может исполнять как инструкцию. Доступ выдается под задачу - агент-аналитик видит выгрузки и не видит платежные доступы. Необратимые действия агент только готовит, подтверждает человек. И над агентом-исполнителем стоит проверяющий агент, который сверяет результат с правилами до того, как что-то уйдет наружу.
Это не защита от всех атак на свете - абсолютной не бывает ни у людей, ни у машин. Это защита, которая делает цену обмана мелкой: даже удачная подмена команды упирается в отсутствие доступа и в подтверждение человека.
Что делать дальше
Если думаете отдать агенту часть рутины, но опасаетесь именно за безопасность - это правильное опасение, и разговор стоит начинать с него. Опишите задачу в форме на главной: мы покажем, к каким данным агенту нужен доступ, что останется за человеком и как устроен проверяющий контур. Демо собираем на ваших материалах за 2 рабочих дня, NDA до передачи файлов, без доступов к вашим системам.
Источник: публичный разбор атаки prompt injection через файл-вложение, профильные площадки по информационной безопасности, июль 2026.
Хочешь увидеть свои цифры так, как их видим мы?
Сделаем мини-отчёт на твоих реальных данных за 1–2 рабочих дня. Три находки, конкретные суммы, разбивка по каждой строке в выгрузке. Бесплатно, без обязательств.
Открыть бот @aximaa_bot