По мере того как ИИ-агенты — автономные боты, способные просматривать веб-страницы, проводить исследования, совершать покупки и даже торговать криптовалютой, — переходят из лабораторий в реальные системы, исследователи предупреждают, что сохраняется сложная проблема: атаки с использованием инъекций промптов. Межинституциональная команда из Национального университета Сингапура, ST Engineering, IBM Research и Университета Иллинойса в Урбане-Шампейне сообщает, что текущие агенты остаются крайне уязвимыми к таким атакам, и ни одна из протестированных конфигураций не показала стабильной устойчивости. Что такое инъекции промптов? - Инъекция промпта происходит, когда злоумышленник скрывает инструкции внутри контента, который читает агент (веб-страницы, ссылки или другие документы). Агент может затем следовать скрытым указаниям злоумышленника вместо намерений пользователя — это явный риск, когда агенты разрешено действовать автономно в финансовых задачах, таких как выполнение сделок или взаимодействие с кошельками и биржами. Что сделали исследователи - Чтобы лучше оценить реальные риски, исследователи создали StakeBench — эталонный набор данных, который проверяет ИИ-агентов на устойчивость к инъекциям промптов в реалистичных онлайн-средах. StakeBench фокусируется на том, что команда называет косвенными инъекциями промптов — каналом, актуальным для развертывания, где вредоносные инструкции внедряются в среду, с которой сталкивается агент. - StakeBench исследует три ключевых фактора, влияющих на эффективность атаки: 1. Семантическое расстояние между внедренной целью и первоначальным намерением пользователя (насколько похожи или различны скрытая и исходная цели). 2. Согласованность окружающих контекстных сигналов (насколько естественно внедренное содержание вписывается в страницу или источник). 3. Момент на траектории выполнения агента, когда он впервые сталкивается с внедренным содержанием. Что тестировали - Команда провела 3 168 симулированных атак с использованием двух фреймворков агентов (NanoBrowser и BrowserUse) в сочетании с GPT-5 и Gemini 2.5-Flash. Ключевые выводы - Прямые атаки с инъекцией промпта успешно проходили более чем в 79% всех протестированных конфигураций. - Успешность косвенных инъекций промптов варьировалась от 41,67% до 68,16% в зависимости от контекста и трех вышеуказанных факторов. - Исследователи выделяют явление, которое они называют «скрытым паразитизмом», когда агент все еще выполняет запрошенную пользователем задачу, но одновременно продвигает цель злоумышленника — например, тонко направляя рекомендации. В криптовалютных сценариях это может означать подталкивание инвестора к определенному токену или выполнение сделок, выгодных злоумышленнику, без явных признаков компрометации. Почему это важно для криптовалют - Автономные агенты все чаще используются для анализа рыночных данных, выполнения сделок, управления кошельками и взаимодействия с протоколами DeFi. Уязвимости к инъекциям промптов создают четкие точки атаки: от предвзятых рекомендаций токенов и манипуляций с перебалансировкой портфеля до утечки учетных данных или несанкционированных транзакций. - Исследователи подчеркивают, что риск инъекции промпта является «зависимым от жертвы»: один и тот же эксплойт может иметь совершенно разные последствия в зависимости от того, для кого или чего действует агент, а влияние определяется семантической согласованностью и архитектурой системы — не только базовой языковой моделью. Контекст и предыдущие инциденты - Исследование следует за серией реальных сообщений: Microsoft предупредил в феврале о скрытых инструкциях в ссылках на AI-сводки; Google описал инъекции промптов на веб-страницах, направленные на то, чтобы заставить агентов раскрывать учетные данные или отправлять платежи в апреле; а Microsoft недавно обнаружил уязвимость с инъекцией промпта в GitHub Action Anthropic’s Claude Code, которая могла привести к раскрытию учетных данных пользователей. Итог - Безопасность от инъекций промптов — это не единичное свойство модели, а многомерное распределение вреда, зависящее от заинтересованных сторон, согласованности задач и контекста развертывания. Для криптовалютных платформ и трейдеров, полагающихся на автономные агенты, это исследование — тревожный звонок: перед передачей этим агентам контроля над средствами или учетными данными кошельков необходимы строгая, контекстно-ориентированная оценка (подобная StakeBench) и более надежная защита.
Исследование показало, что криптовалютные агенты на базе ИИ уязвимы к атакам через инъекцию запросов
ChainGPTПоделиться
Сводка
Озабоченность регуляторов выросла после того, как исследование выявило уязвимость криптовалютных агентов на основе ИИ к атакам через инъекцию запросов. Исследователи из Университета технологий Наньян, ST Engineering, IBM Research и Университета Иллинойса в Урбане-Шампейн использовали StakeBench для тестирования этих агентов. Они обнаружили成功率 79% для прямых атак и от 41,67% до 68,16% для косвенных. Угроза скрытого паразитизма создает риски для ликвидности и криптовалютных рынков. Злоумышленники могут навязывать токены или совершать неавторизованные сделки. Команда призывает к внедрению контекстно-зависимой безопасности до финансового развертывания.
Источник:Показать оригинал
Отказ от ответственности: Информация на этой странице может быть получена от третьих лиц и не обязательно отражает взгляды или мнения KuCoin. Данный контент предоставляется исключительно в общих информационных целях, без каких-либо заверений или гарантий, а также не может быть истолкован как финансовый или инвестиционный совет. KuCoin не несет ответственности за ошибки или упущения, а также за любые результаты, полученные в результате использования этой информации.
Инвестиции в цифровые активы могут быть рискованными. Пожалуйста, тщательно оценивайте риски, связанные с продуктом, и свою устойчивость к риску, исходя из собственных финансовых обстоятельств. Для получения более подробной информации, пожалуйста, ознакомьтесь с нашими Условиями использования и Уведомлением о риске.