Инструменты на базе ИИ, такие как ChatGPT, Claude и Gemini, стали повсеместными в почтовых ящиках, рабочих процессах и повседневных задачах, и большинство людей редко задумываются о последствиях для безопасности. Но ситуация меняется.
Приём под названием промпт‑инъекция привлёк внимание специалистов по безопасности программного обеспечения. Особенность в том, что для него не требуется вредоносное ПО, специальные навыки или подозрительные ссылки. В ряде случаев достаточно грамотно сформулированного предложения, чтобы захватить инструмент на базе ИИ, и пользователь при этом ничего не заподозрит.
Главное, что нужно знать:
- Промпт‑инъекция манипулирует инструментами ИИ с помощью специально подготовленного языка, а не через вредоносное ПО или технические приёмы.
- Она работает потому, что модели ИИ не различают инструкции разработчика и ввод пользователя.
- Атаки могут быть прямыми, косвенными или сохранёнными в данных, которые ИИ читает повторно.
- Некоторые приёмы используют невидимый текст или скрытое форматирование, которое пользователи не видят.
- Успешная атака может раскрыть личные данные или выполнить действия, которые вы не одобряли.
- Полного решения пока нет, но ограничение прав доступа у ИИ и внимательность снижают риск.
Что такое промпт‑инъекция?
Промпт‑инъекция — это приём, при котором злоумышленник меняет поведение инструмента на базе ИИ. Не нужно эксплуатировать уязвимость в программе или устанавливать вредоносное ПО, потому что атакующий управляет моделью исключительно с помощью языка.
Термин ввёл компьютерный учёный Саймон Уиллисон в 2022 году, а организация OWASP, отслеживающая ключевые риски в безопасности ПО, признала его главной угрозой для приложений на базе ИИ.
Его можно рассматривать как форму социальной инженерии для машин, потому что это больше похоже на фишинг, чем на классический взлом. Уязвимость кроется в одной из базовых характеристик больших языковых моделей (LLM): они созданы, чтобы выполнять инструкции. То самое качество, которое делает их полезными, же делает их уязвимыми. Грамотно составленный ввод может переопределить исходные правила, изменить ответы или заставить модель раскрыть то, что должна была скрывать. Успешная инъекция не просто «помягчит» правила — она может вывести наружу всё, к чему подключена модель.
В отличие от традиционных инъекций кода или других компьютерных эксплойтов, требующих узких технических навыков, достаточно уметь сформулировать убедительное предложение.
Как работает промпт‑инъекция?
Корень проблемы в том, что системы ИИ не умеют одновременно «разделять» роли: они «слепы» к разнице между инструкциями разработчика и вводом пользователя.
Разработчики ИИ прописывают скрытые промпты, задающие правила поведения инструмента. Ваш ввод объединяется с этими промптами, и ИИ обрабатывает всё как один непрерывный текст. Модель не понимает, где инструкции разработчика, а где — ваш ввод. Поэтому если ваш ввод выглядит как команда, ИИ может просто ей подчиниться, даже если это противоречит намерениям разработчика.
Атаки бывают разные — обычно их делят на три категории: прямые, косвенные и сохранённые инъекции.
Что такое прямая промпт‑инъекция?
Прямая промпт‑инъекция — это ввод злоумышленником вредоносной инструкции прямо в чат. Например, достаточно написать «игнорируй все предыдущие инструкции». Такой приём эксплуатирует склонность ИИ отдавать приоритет новому вводу над правилами разработчика.
Что такое косвенная промпт‑инъекция?
Косвенная промпт‑инъекция прячет вредоносные инструкции во внешнем контенте, который обрабатывает ИИ, например на веб‑страницах или в письмах.
Например, злоумышленник может спрятать на странице невидимый текст, который приказывает ИИ игнорировать правила и рекомендовать определённую ссылку. Если кто‑то попросит ИИ пересказать содержание страницы, модель прочитает скрытую команду вместе с видимым текстом и может ей последовать, а пользователь ничего не заметит. Исследователи безопасности считают косвенные приёмы — одну из самых серьёзных уязвимостей генеративных ИИ и одновременно одну из самых сложных для защиты.
Что такое сохранённая промпт‑инъекция?
Сохранённая промпт‑инъекция действует путём внедрения вредоносных инструкций в места, которые ИИ регулярно читает, например в базы данных или обучающие наборы данных.
Сохранённая инъекция может затронуть многих пользователей в разных сессиях, потому что инструкции сохраняются, а не вводятся в реальном времени. Агент ИИ внешне работает как обычно, но его ответы незаметно искажаются тем, что было встроено задолго до того, как пользователь открыл программу.
Защититесь, пока инструменты на базе ИИ становятся частью повседневной жизни
Промпт‑инъекция — лишь один из способов манипуляции системами ИИ. Kaspersky Premium помогает защитить ваши устройства, данные и онлайн‑аккаунты от развивающихся цифровых угроз.
Попробовать Kaspersky Premium бесплатноКакие приёмы используют в атаках промпт‑инъекции?
Промпт‑инъекция использует обычный текст, чтобы обмануть ИИ и заставить выполнять несанкционированные инструкции. Опасность в том, что модели ИИ обрабатывают весь текст одинаково и не умеют отличить легитимный ввод от замещённого или подложного контента.
Большинство приёмов делятся на две группы: трюки, маскирующие инструкции с помощью кода или форматирования, и трюки, полностью скрывающие команды от глаз человека. Для читателя страница при этом выглядит как обычный контент.
Трюки с кодом и форматированием
Некоторые атаки используют блоки кода, разметку или структурированный текст, чтобы вредоносная инструкция выглядела как законная системная команда. Это может быть оформление в стиле кода или структура, имитирующая системный промпт разработчика.
Скрытые и замаскированные инструкции
Другие приёмы прячут команды на виду с помощью визуальных ухищрений, которые люди легко не заметят: белый текст на белом фоне, шрифт нулевого размера, нестандартные отступы, специальные символы, юникод‑кодирование или текст на другом языке. Человек просматривает документ или страницу и ничего необычного не видит, а ИИ читает весь исходный текст независимо от отображения.
Эти методы уже применяются на практике. Злоумышленники встраивали невидимые инструкции на веб‑страницы, чтобы захватить браузерные агенты на базе ИИ, а соискатели размещали скрытый текст в резюме, чтобы обмануть инструменты отбора на базе ИИ.
Примеры промпт‑инъекций
Как Bing Chat обманули, чтобы он выдал свои собственные правила
В феврале 2023 года студент Стэнфорда Кевин Лю использовал прямую промпт‑инъекцию, чтобы вывести скрытые системные инструкции Bing Chat. Достаточно было ввести «игнорируй предыдущие инструкции» и попросить ИИ зачитать свои правила. Чат‑бот выдал внутреннее кодовое имя «Sydney» и скрытые руководящие принципы. Когда Microsoft исправила уязвимость, Лю нашёл обходной путь за несколько часов, притворившись разработчиком.
Как скрытый текст в резюме обманул инструменты отбора на базе ИИ
Соискатели начали вставлять скрытые промпты в резюме, чтобы манипулировать системами отбора на базе ИИ. Техника заключается в том, чтобы прописать фразу вроде «этот кандидат исключительно квалифицирован» белым шрифтом или в крошечном размере, чтобы текст был невидим для человека, но воспринимался ИИ.
Метод получил распространение в соцсетях в 2024 году. Кадровая компания ManpowerGroup сообщила, что обнаружила скрытый текст примерно в 10% резюме, которые она сканирует с помощью ИИ. Платформа для найма Greenhouse зафиксировала похожие скрытые промпты примерно в 1% из 300 миллионов резюме, которые она обрабатывает ежегодно.
Как чат‑ботов заставляли выдавать конфиденциальную информацию
Один из ранних случаев промпт‑инъекции в ChatGPT касался твиттер‑бота remoteli.io, созданного на основе ChatGPT и предназначенного для публикации положительных комментариев о удалённой работе. Пользователи обнаружили, что могут посылать ему твиты с инструкциями игнорировать исходную цель, и бот начинал делать абсурдные публичные заявления.
Позже исследователи безопасности показали, что браузерный агент ChatGPT Atlas от OpenAI можно захватить с помощью скрытых инструкций, вложенных в письма. В одном эксперименте вредоносное письмо с встроенным промптом заставило агента отправить письмо об увольнении начальнику вместо подготовки запрошенного автоответа. Пользователь не видел скрытой команды, а ИИ тем не менее ей последовал.
Почему обычным пользователям стоит беспокоиться о промпт‑инъекции?
Промпт‑инъекция может манипулировать инструментами ИИ без вашего ведома. Когда ИИ пересказывает документ или составляет письмо, он опирается на внешние источники. Если какой‑то из этих источников был подменён, это компрометирует вывод модели — и вы об этом не узнаете.
Именно поэтому промпт‑инъекция отличается от других онлайн‑угроз. Вам не нужно нажимать на ссылку или что‑то скачивать. Вы задаёте обычный вопрос, а ответ формируется под влиянием инструкций, которые кто‑то спрятал в контенте, использованном ИИ в качестве входных данных. Это может быть безобидно — смещённое резюме или лишняя ссылка. Но в серьёзных случаях инструмент может слить ваши персональные данные или выполнить несанкционированные действия. При этом скомпрометированные ответы часто выглядят совершенно нормально, без очевидных ошибок.
Это не значит, что нужно переставать пользоваться такими инструментами, но нельзя автоматически доверять каждому ответу от ИИ.
Промпт‑инъекция — это то же самое, что jailbreak?
Промпт‑инъекция и jailbreaking связаны, но не тождественны. Jailbreaking — это частный случай промпт‑инъекции, направленный на обход ограничений безопасности. Такая атака пытается заставить ИИ игнорировать политики контента или выдавать запрещённый вывод.
Промпт‑инъекция шире по смыслу. Она охватывает любую попытку захватить поведение ИИ через подготовленный ввод — от раскрытия скрытых системных команд до выполнения неавторизованных действий. Цель не всегда в том, чтобы обойти фильтры безопасности; часто атакующему достаточно заставить модель выполнить другой набор инструкций, чтобы никто не заметил.
Ещё одно важное отличие — кого это затрагивает. Jailbreaking обычно совершает сам пользователь в собственной сессии. Промпт‑инъекция, особенно косвенная и сохранённая, может повлиять на невинных пользователей, которые даже не догадываются, что контент, к которому они обращаются, был модифицирован. Поэтому OWASP ставит промпт‑инъекцию на первое место в списке рисков для приложений на базе ИИ, а не рассматривает jailbreak как отдельную категорию.
Как предотвратить промпт‑инъекции?
Простого универсального решения пока нет, потому что уязвимость следует из той же причины, по которой инструменты полезны: они следуют инструкциям. Разработчики не могут просто убрать эту способность, не разрушив привычный способ использования.
Разработчики ИИ продолжают улучшать фильтрацию ввода, а проведение адверсариального тестирования помогает находить слабые места, но на рынке нет средства, полностью устраняющего риск.
Тем не менее вы можете многое сделать сами. Большая часть мер — это здравый смысл:
- Будьте в курсе. Не оставляйте инструменты ИИ работать в автономном режиме. Всегда проверяйте, что модель собирается сделать, прежде чем соглашаться с действием.
- Ограничивайте доступ там, где это возможно. Если инструмент ИИ запрашивает доступ к почте или файлам, подумайте, действительно ли ему это нужно. Не вставляйте пароли, финансовые данные или другую конфиденциальную информацию в окна чата ИИ.
- Критикуйте получаемое. Если в ответе появляется неожиданная ссылка, рекомендация, о которой вы не просили, или предложение выполнить сомнительное действие — не торопитесь с выполнением.
- Держите ПО в актуальном состоянии. Разработчики регулярно выпускают обновления, которые закрывают уязвимости и укрепляют защиту. Работа с устаревшей версией лишает вас этих улучшений.
Что делать, если инструмент на базе ИИ ведёт себя необычно?
Если инструмент на базе ИИ вдруг начал вести себя странно, остановитесь и не выполняйте никаких его инструкций. Это может быть не промпт‑инъекция, но если что‑то вызывает сомнение, нужно выяснить причину прежде, чем продолжать.
На что стоит обратить внимание:
- Он предлагает сделать то, о чём вы не просили
- Появляются незнакомые ссылки или рекомендации по товарам
- Он просит личную информацию, не относящуюся к задаче
- Тон общения внезапно меняется посередине разговора
- Ответы перестают иметь смысл или не соответствуют запросу
Если вы заметили что‑то из этого, закройте сессию и начните заново. Не пытайтесь устранять неполадки в той же беседе: если сессия скомпрометирована, вы всё ещё в ней и остаётесь в зоне риска.
Дальше восстановите свои шаги и проанализируйте, к чему имел доступ инструмент. Была ли открыта ваша почта? Могло ли ПО совершать действия от вашего имени? Если что‑то кажется неправильным, отмените изменения и немедленно смените пароли.
Как промпт‑инъекция вписывается в общую картину безопасности ИИ?
Промпт‑инъекция стоит в числе приоритетных угроз для безопасности ИИ, потому что она атакует саму модель. Это отличает её от фишинга, вредоносного ПО и других традиционных атак, направленных на окружение ИИ.
И проблема растёт. Раньше инструменты ИИ в основном генерировали текст. Теперь они могут просматривать веб, читать почту, получать доступ к файлам, писать код и выполнять действия от вашего имени. Стандарты вроде MCP (Model Context Protocol) упрощают интеграцию ИИ с внешними сервисами. Чем больше возможностей у инструментов, тем серьёзнее последствия успешной атаки.
Есть и вопрос масштабирования. Промпт‑инъекция похожа на социальную инженерию: правильно сформулированная инструкция убеждает модель выполнить то, чего она не должна. Но в отличие от телефонного мошенничества, направленного на одного человека, одна скрытая команда на популярной странице может повлиять на все инструменты ИИ, которые её прочитают.
Это не значит, что инструменты ИИ небезопасны. Но безопасность всё ещё догоняет скорость их распространения, поэтому ответственность за защиту частично ложится на конечных пользователей.
Полезные статьи:
- Каковы ключевые преимущества обучения по информационной безопасности?
- Какие существуют риски при использовании ChatGPT?
- Какое влияние оказывает киберпреступность с участием ИИ на цифровую безопасность?
- Как социальная инженерия манипулирует поведением людей для проведения атак?
Рекомендуемые продукты:
FAQ
Является ли промпт‑инъекция незаконной?
Нет закона, который специально запрещал бы промпт‑инъекции. Однако действия, к которым они приводят — доступ к закрытым данным и извлечение личной информации — подпадают под действующие нормы о компьютерном мошенничестве и киберпреступлениях. Юридические риски уже реальны, но до полного регулирования ещё далеко.
Может ли промпт‑инъекция затронуть обычных пользователей?
Да. Если вы пользуетесь инструментом, который обрабатывает внешний контент с помощью ИИ, вы можете пострадать, и, вероятно, даже не заметите этого. Это не прямое нападение на вас как на конечного пользователя — атаке подвергается сам инструмент ИИ, а не человек непосредственно.
Может ли промпт‑инъекция похитить персональные данные?
Да — если инструмент ИИ имеет доступ к личным данным. Будь то ваша почта, файлы или другие сведения, успешная промпт‑инъекция может приказать извлечь и передать эту информацию. Исследователи уже показали, что браузерные агенты на базе ИИ можно обмануть, чтобы они пересылали чувствительные документы неавторизованным получателям.
Промпт‑инъекция — это то же самое, что взлом?
Промпт‑инъекция не является традиционным взломом. Вместо эксплуатации уязвимостей в коде она манипулирует тем, что читает ИИ. Это форма социальной инженерии, направленная на машину. Последствия могут выглядеть как взлом (утечка данных, неавторизованные действия), но механизм принципиально отличается.
