Злочинні веб-сторінки захоплюють агентів ШІ, а деякі націлюються на ваш PayPal

Коротко

• Google задокументував зростання на 32% кількості зловмисних опосередкованих атак інжекції підказок між листопадом 2025 та лютим 2026 року, спрямованих на агентів ШІ, що переглядають веб.
• Реальні зразки шкідливих кодів, знайдені у відкритому доступі, включали повністю визначені інструкції транзакцій PayPal, приховано в звичайному HTML, спрямовані на агентів із платіжними можливостями.
• Наразі відсутня правова база, яка визначає відповідальність у випадках, коли агент ШІ з легітимними обліковими даними виконує команду, вставлену зловмисним стороннім сайтом.

Зловмисники тихо мінують веб-сторінки невидимими інструкціями, розробленими для агентів ШІ, а не для людських читачів. І, за словами команди безпеки Google, проблема швидко зростає. У звіті, опублікованому 23 квітня, дослідники Google Томас Брунер, Ю-Хан Лю і Моні Панде проаналізували 2-3 мільярди проіндексованих веб-сторінок щомісяця у пошуках атак опосередкованої інжекції підказок — прихованих команд, вставлених у сайти, які очікують, що агент ШІ їх прочитає і виконає. Вони виявили зростання зловмисних випадків на 32% між листопадом 2025 і лютим 2026 року. Зловмисники вставляють інструкції у веб-сторінки так, що їх не видно людському оку: текст зменшено до одного пікселя, текст зроблено майже прозорим, контент приховано у секціях коментарів HTML або команді, захованій у метаданих сторінки. Агент ШІ читає весь HTML. Людина нічого не бачить.

Більшість знайденого Google було низької якості — жартів, маніпуляцій пошуковими системами, спроб уникнути підсумовування контенту агентами ШІ. Наприклад, були деякі підказки, що намагалися змусити ШІ “Твітнути як птах”. Але небезпечні випадки — це зовсім інша історія. Один випадок наказував LLM повернути IP-адресу користувача разом із його паролями. Інший намагався маніпулювати ШІ, щоб він виконав команду, яка форматувала б машину користувачів ШІ.

Але інші випадки межують із криміналом.

Дослідники з кібербезпекової компанії Forcepoint опублікували майже одночасно звіт і виявили ще більш просунуті зразки. Один з них містив повністю визначену транзакцію PayPal із покроковими інструкціями для агентів ШІ з інтегрованими платіжними можливостями, використовуючи також відомий технічний прийом “ігнорувати всі попередні інструкції” для обходу безпеки.

Другий напад використовував техніку під назвою “інжекція простору імен метатегів” у поєднанні з ключовим словом-підсилювачем переконання для маршрутизації платежів через ШІ до посилання на пожертву Stripe. Третій був спрямований на дослідження, які системи ШІ є вразливими — розвідка перед більшою атакою. Це основа підприємницького ризику. Агент ШІ з легітимними платіжними обліковими даними, що виконує транзакцію, прочитану з сайту, створює журнали, які виглядають ідентично до звичайних операцій. Вхід у систему без аномалій. Брутфорс не застосовувався. Агент виконав саме те, на що був уповноважений — він просто отримав свої інструкції з неправильного джерела. Атака CopyPasta, задокументована минулого вересня, показала, як інжекції підказок можуть поширюватися через інструменти розробника, приховуючись у файлах “readme”. Фінансова версія — це той самий концепт, застосований до грошей замість коду, і з набагато більшим впливом за кожну успішну атаку. Як пояснює Forcepoint, браузерний ШІ, який може лише підсумовувати контент, має низький ризик. Агентний ШІ, що може надсилати електронні листи, виконувати командні рядки або обробляти платежі, — це зовсім інша категорія цілей. Поверхня атаки зростає з рівнем привілеїв.  Ні Google, ні Forcepoint не знайшли доказів складних, скоординованих кампаній. Forcepoint зазначив, що спільні шаблони інжекції на кількох доменах “свідчать про організоване інструментування, а не ізольовані експерименти” — тобто хтось створює інфраструктуру для цього, навіть якщо ще не розгорнув її повністю.

Але Google був більш прямим: команда дослідників заявила, що очікує зростання масштабу та складності атак опосередкованої інжекції підказок у найближчому майбутньому. Дослідники Forcepoint попереджають, що можливість випередити цю загрозу швидко зменшується. Питання відповідальності — це те, на що ніхто ще не дав відповіді. Коли агент ШІ з корпоративними обліковими даними читає зловмисну веб-сторінку і ініціює шахрайський переказ PayPal, хто несе відповідальність? Підприємство, яке розгорнуло агента? Постачальник моделі, чиї системи виконали вставлену інструкцію? Власник сайту, який розмістив зразок, навмисно чи ні? Наразі правова база цього не регулює. Це сіра зона, навіть якщо сценарій уже не є теоретичним, оскільки Google знайшов зразки у відкритому доступі у лютому. Проект відкритої глобальної безпеки додатків (OWASP) класифікує інжекцію підказок як LLM01:2025 — найкритичніший клас вразливостей у застосунках ШІ. FBI зафіксував майже $900 мільйонів збитків від шахрайств, пов’язаних із ШІ, у 2025 році — перший рік, коли ця категорія була окремо врахована. Висновки Google свідчать, що більш цілеспрямовані, фінансові атаки, орієнтовані на агентів, лише починаються. Зростання на 32% між листопадом 2025 і лютим 2026 охоплює лише статичні публічні веб-сторінки. Соціальні мережі, контент із входом через платіжні стіни та динамічні сайти не враховувалися. Реальний рівень зараження по всьому вебу, ймовірно, вищий.