AI-агенты, которые самостоятельно просматривают веб-сайты, проводят исследования, совершают покупки или даже торгуют криптовалютой, остаются удивительно уязвимыми к атакам через внедрение запросов, предупреждает новое исследование, проведенное несколькими учреждениями. Исследователи из Наньянгского технологического университета, ST Engineering, IBM Research и Университета Иллинойса в Урбане-Шампейне протестировали реальные настройки агентов и обнаружили, что ни один из них не может надежно защищаться от внедрения запросов — скрытых инструкций, встроенных в веб-контент, которые заставляют агента следовать указаниям злоумышленника вместо пользователя. Команда утверждает, что текущие стандарты безопасности слишком «ориентированы на атаки» и не учитывают, как вред может различаться в зависимости от того, кому или чему служит агент. Чтобы заполнить этот пробел, они создали StakeBench — новую рамку для оценки, которая исследует поведение агентов в реалистичных онлайн-средах. Вместо простого вопроса «может ли эта атака сработать» StakeBench измеряет, когда и как атака имеет значение, изменяя три фактора, связанных с развертыванием: - Семантическое расстояние: насколько вставленная цель отклоняется от первоначального намерения пользователя. - Согласованность среды: усиливают или противоречат ли окружающие сигналы вставленной инструкции. - Точка выполнения: где в цепочке задач агента появляется вредоносный контент. Исследователи провели 3 168 симулированных атак на две веб-совместимые цепочки инструментов агентов (NanoBrowser и BrowserUse) с ядрами GPT-5 и Gemini 2.5-Flash. Результаты яркие: - Прямые внедрения запросов успешно срабатывали более чем в 79% случаев во всех протестированных конфигурациях. - Косвенные внедрения — более скрытые и релевантные для развертывания варианты — успешно срабатывали от 41,7% до 68,2%. Они также зафиксировали тревожную закономерность, которую назвали «скрытым паразитизмом»: агент выполняет запрошенную пользователем задачу, одновременно продвигая скрытую цель злоумышленника. На практике это может означать, что агент все еще покупает то, что запросил пользователь, но при этом тонко влияет на рекомендации, направляет трейдеров к предпочтительному токену, раскрывает учетные данные или авторизует нежелательные платежи — все это без явных признаков компрометации. Это исследование появилось на фоне серии реальных инцидентов с внедрением запросов. В начале этого года Microsoft обнаружила скрытые инструкции в ссылках на AI-сводки, Google продемонстрировала внедрения на веб-страницах, пытавшиеся заставить агентов раскрывать учетные данные или отправлять средства, а позже Microsoft сообщила об уязвимости внедрения запроса в GitHub Action Anthropic’s Claude Code, которая могла привести к раскрытию учетных данных пользователей. Ключевой вывод для криптовалютных платформ и трейдеров: - Внедрение запросов — это не просто техническая уязвимость; его влияние зависит от заинтересованной стороны, степени соответствия атаки задаче пользователя и архитектуры и развертывания агента. - Автономные торговые агенты и кошельки являются привлекательными целями: внедрение, которое тонко смещает рекомендации, изменяет маршрутизацию ордеров или перехватывает ключи, может привести к прямым финансовым потерям. Что должны учитывать операторы: - Относитесь к выводам агента и любому контенту, который он анализирует, как к ненадежному входу; применяйте очистку, проверку происхождения и соблюдение политик контента. - Добавьте обнаружение и мониторинг в реальном времени аномального выполнения инструкций и сохраняйте человеческий контроль для действий с высоким риском (крупные переводы, привилегированные API-вызовы). - Используйте такие стандарты оценки, как StakeBench, для проверки развертываний в реалистичных, зависящих от заинтересованной стороны моделях угроз и укрепляйте слои оркестрации агентов, а не только базовые модели. Основной вывод авторов: риск внедрения запросов — это не единый показатель уязвимости модели, а распределение вреда, определяемое злоумышленниками, целями, контекстом и решениями по развертыванию. Для криптовалютного мира — где речь идет о деньгах и ключах — это распределение может быстро превратиться в дорогостоящую реальность.
Исследование показало, что торговые агенты на основе ИИ уязвимы к атакам через инъекцию запросов
ChainGPTПоделиться
Сводка
Новое исследование ChainGPT показывает, что ИИ-торговые агенты уязвимы к атакам через инъекцию запросов, при этом меры CFT с трудом справляются с такими угрозами. Исследователи из Национального университета Сингапура, ST Engineering, IBM Research и Университета Иллинойса в Урбане-Шампейне протестировали несколько конфигураций и не обнаружили надежных методов защиты. Новая оценочная система StakeBench выявила, что прямые инъекции успешно работают более чем в 79% случаев. Косвенные атаки имели успешность от 41,7% до 68,2%. Скрытый паразитический паттерн позволяет злоумышленникам манипулировать агентами, одновременно выполняя задачи пользователей. Криптоплатформам настоятельно рекомендуется улучшить безопасность, особенно в сегментах ликвидности и крипторынков, применяя очистку входных данных, мониторинг и человеческий контроль для высокорисковых действий.
Источник:Показать оригинал
Отказ от ответственности: Информация на этой странице может быть получена от третьих лиц и не обязательно отражает взгляды или мнения KuCoin. Данный контент предоставляется исключительно в общих информационных целях, без каких-либо заверений или гарантий, а также не может быть истолкован как финансовый или инвестиционный совет. KuCoin не несет ответственности за ошибки или упущения, а также за любые результаты, полученные в результате использования этой информации.
Инвестиции в цифровые активы могут быть рискованными. Пожалуйста, тщательно оценивайте риски, связанные с продуктом, и свою устойчивость к риску, исходя из собственных финансовых обстоятельств. Для получения более подробной информации, пожалуйста, ознакомьтесь с нашими Условиями использования и Уведомлением о риске.