Промпты — это новый вредоносный код
Давайте сразу к делу. Пока корпорации с упоением встраивают большие языковые модели (LLM) в поддержку, аналитику, разработку и внутреннюю автоматизацию, киберпреступники не сидят сложа руки. Они нашли брешь, которую большинство бизнесов даже не рассматривает как уязвимость. Проблема в том, что нейросеть до сих пор не умеет надежно отличать инструкцию от пользовательских данных. И это открывает ящик Пандоры.
В 2025 и 2026 годах сразу несколько независимых источников бьют тревогу. OWASP LLM Top 10 (2025) второй раз подряд ставит промпт-инъекцию на первое место — LLM01. Это самое критичное уязвимое место среди всех LLM-специфичных угроз. Модели просто не в силах разделить команду и данные, что делает их идеальной мишенью для манипуляции через специально сфабрикованные входные запросы.
Цифры, от которых становится не по себе
Отчет CrowdStrike за 2026 год — настоящая холодная вода для эйфории вокруг AI. На основе разведданных по более чем 280 отслеживаемым противникам, компания задокументировала, что злоумышленники внедряли вредоносные промпты в легитимные генеративные AI-инструменты более чем в 90 организациях в течение 2025 года. Результат? Сгенерированные команды, которые крали учетные данные и криптовалюту.
Вывод CrowdStrike звучит как приговор: «Промпты — это новый вид вредоносного ПО». Общий объем атак от AI-противников вырос на 89% год к году. Промпт-инъекция работает одновременно и как точка входа, и как усилитель эффекта. Один удачный промпт — и ваша инфраструктура под ударом.
Реальные кейсы: от Slack до Microsoft Copilot
В августе 2024 года исследователи из PromptArmor раскрыли уязвимость в Slack AI. Суть проста: атакующий размещает вредоносную инструкцию в публичном канале или вшивает её в загруженный документ. Slack AI, добросовестно обрабатывая контент, выуживает данные из приватных каналов, к которым у хакера нет доступа. API-ключи из закрытых чатов разработчиков? Пожалуйста, они уже у злоумышленников. Уязвимость, кстати, закрыли.
Но история не заканчивается. В июне 2025 года исследователи Aim Security опубликовали информацию об EchoLeak (CVE-2025-32711, CVSS 9.3). Это первая задокументированная zero-click эксплойт-атака на промышленную AI-систему — Microsoft 365 Copilot. Представьте: вам даже не нужно кликать по ссылке. Достаточно отправить одно специально оформленное письмо, и Copilot самостоятельно получает доступ к внутренним файлам и отправляет их на сервер злоумышленника. Никакого взаимодействия с пользователем. Просто молчаливый слив данных. И это тоже уже починили, но осадочек, как говорится, остался.
Эволюция атак: арсенал 2026 года
Техники промпт-инъекции ушли далеко вперед. Если раньше это были примитивные попытки обмануть чат-бота, то теперь атаки нацелены на многоагентные архитектуры, пайплайны Retrieval-Augmented Generation (RAG), модели-роутеры и даже долговременную память LLM. Разберем самые опасные из них.
Кросс-модельные инъекции
В корпоративной среде LLM редко работают в одиночку. Одна модель генерирует контент, другая его обрабатывает, третья принимает решение. Атакующий заражает вывод первой модели, и инфекция лавинообразно распространяется по всей цепочке AI-систем. Одна точка отказа — и вся экосистема скомпрометирована.
Отравление RAG-пайплайнов
Злоумышленники создают вредоносную информацию — фейковые документации, статьи в блогах, README-файлы на GitHub. Они ждут, пока корпоративные RAG-системы проглотят эту наживку. Как только зараженный документ попадает в базу знаний, он становится вектором атаки. Отличный способ, например, подсунуть разработчику "полезный" код с бэкдором через корпоративную базу знаний.
Угон AI-агентов
Современные AI-агенты умеют отправлять письма, изменять облачную инфраструктуру, выполнять код и взаимодействовать с внутренними системами. Достаточно одной инструкции, внедренной в рабочий контекст, чтобы заставить агента действовать во вред компании. Агент, которого вы наняли для автоматизации рутины, может стать идеальным инструментом для саботажа.
Атаки на контекстное окно (Context Overflow)
С появлением контекстных окон на миллион токенов, атакующие просто прячут вредоносный код глубоко в документе. LLM, обрабатывая огромный объем данных, рано или поздно натыкается на эту бомбу замедленного действия и выполняет её, переопределяя все предыдущие инструкции.
Отравление памяти
Долговременная память LLM — это благо для персонализации, но и колоссальная уязвимость. Внедрив одну инструкцию, можно навсегда переконфигурировать состояние модели. Она запомнит, что нужно сливать данные на сторонний сервер при каждом удобном случае.
Манипуляция модель-роутерами
Компании все чаще используют маршрутизаторы для выбора между несколькими LLM (разные модели для разных задач). Атакующий создает промпт, который принудительно направляет запрос на самую слабую или наименее защищенную модель. Зачем взламывать крепость, если можно зайти через проходной двор?
Почему это бьет по карману бизнеса
Промпт-инъекция — не абстрактная академическая угроза. Она напрямую влияет на:
- Системы, работающие с клиентами: чат-боты, агенты поддержки.
- Внутренних копилотов: инструменты для разработчиков, ассистенты безопасности.
- Автоматизацию рабочих процессов: тикеты, облачные операции, HR-процессы.
- Управление данными: RAG-пайплайны, базы знаний.
Риски в 2026 году — это не просто «модель сказала глупость». Промпт-инъекция может:
- Запустить несанкционированные действия.
- Слить конфиденциальные данные.
- Повредить внутренние рабочие процессы.
- Исказить аналитику.
- Изменить бизнес-логику приложений.
- Компрометировать многоагентные системы.
Поверхность атаки расширилась катастрофически. Если ваш бизнес использует AI для автоматизации, вы уже в зоне поражения.
Что делать прямо сейчас: практические советы
Хорошая новость — защита есть. Плохая — она требует пересмотра архитектуры. Вот шесть шагов, которые наша редакция считает обязательными.
1. Ограничьте права модели. Не думайте о том, что модель может делать, а что нельзя. Думайте о том, что ей физически разрешено. Максимально урежьте её полномочия. Модель не должна иметь доступ к тому, что ей не нужно для выполнения текущей задачи.
2. Сегментируйте недоверенный контент. Любые внешние данные — включая источники для RAG — рассматривайте как потенциально враждебные. Контент из интернета (документация, блоги) должен проходить через фильтр перед тем, как попасть в контекст модели.
3. Мониторинг вызовов инструментов. Если AI-агент хочет выполнить действие с высокими рисками (отправить письмо, изменить конфигурацию, удалить файл) — запрашивайте подтверждение человека. Автоматизация не должна быть слепой.
4. Валидация происхождения контента. Убедитесь, что ваши R