З тим як штучні інтелектуальні агенти — автономні боти, здатні переглядати, досліджувати, купувати та навіть торгувати криптовалютою — переходять з лабораторій у реальні системи, дослідники попереджають, що залишається складна проблема: атаки через ін'єкцію запитів. Міжінституційна команда з Університету технологій Наньян, ST Engineering, IBM Research та Університету Іллінойсу в Урбані-Шампейн повідомляє, що сучасні агенти залишаються дуже вразливими до цих атак, і жодна з протестованих конфігурацій не продемонструвала постійної стійкості. Що таке ін'єкції запитів? - Ін'єкція запиту відбувається, коли нападник приховує інструкції всередині контенту, який читає агент (веб-сторінки, посилання або інші документи). Агент може тоді виконувати приховані команди нападника замість намірів користувача — це чіткий ризик, коли агентам дозволено автономно виконувати фінансові завдання, такі як виконання угод або взаємодія з гаманцями та біржами. Що зробили дослідники - Щоб краще оцінити реальний ризик, дослідники створили StakeBench — тестовий набір, який перевіряє штучні інтелектуальні агенти на вразливість до ін'єкцій запитів у реалістичних онлайн-умовах. StakeBench зосереджений на тому, що команда називає непрямою ін'єкцією запиту — каналом, що має значення для реального впровадження, де шкідливі інструкції вбудовані в середовище, з яким стикається агент. - StakeBench перевіряє три ключових фактори, що впливають на вплив атаки: 1. Семантичну відстань між вбудованою метою та початковим наміром користувача (наскільки схожими чи відмінними є приховані цілі). 2. Послідовність навколишніх середовищних підказок (чи вбудований контент природно поєднується з сторінкою чи джерелом). 3. Точку виконання агента, коли вперше зустрічається вбудований контент. Що тестували - Команда провела 3 168 симульованих атак, використовуючи дві платформи агентів (NanoBrowser та BrowserUse) у поєднанні з GPT-5 та Gemini 2.5-Flash. Ключові висновки - Прямі атаки ін'єкції запиту мали успішність понад 79% у всіх протестованих конфігураціях. - Успішність непрямих ін'єкцій запиту коливалася в межах від 41,67% до 68,16% залежно від контексту та трьох зазначених факторів. - Дослідники виділяють явище, яке називають «прихованим паразитизмом», коли агент все ще виконує запит користувача, одночасно просуваючи мету нападника — наприклад, тонко керуючи рекомендаціями. У криптовалютних сценаріях це може означати прагнення інвестора до певного токена або виконання угод, що користують нападнику, без очевидних ознак компрометації. Чому це важливо для криптовалют - Автономні агенти все частіше використовуються для аналізу ринкових даних, виконання угод, управління гаманцями та взаємодії з DeFi-протоколами. Тому вразливості до ін'єкцій запиту створюють чіткі точки атаки: від упереджених рекомендацій токенів та маніпуляцій з перебалансуванням портфеля до витоку облікових даних чи неавторизованих транзакцій. - Дослідники підкреслюють, що ризик ін'єкції запиту є «залежним від жертви»: той самий експлойт може мати дуже різні наслідки залежно від того, для кого чого діє агент, і його вплив формується семантичною збагаченням та архітектурою системи — не лише базовою мовою моделей. Контекст і попередні інциденти - Дослідження слугує продовженням серії реальних розголошень: Microsoft попередив у лютому про приховані інструкції у посиланнях на AI-сумаризації; Google описав ін'єкції запиту через веб-сторінки, спрямованi на те, щоб заставити агенти розкривати обліковi данi або надсилати платежi у квiтнi; а Microsoft недавно розкрила недолугу ін'єкцiю запиту у GitHub Action Anthropic’s Claude Code, яка могла призвести до розкриття облiкових даних користувача. Практичний висновок - Безпека вiд ін'єкцiй запитiв — це не одна властивiсть моделi, а багатовимiрний розподiл шкоди, що залежить вiд зацiкавлених сторiн, збiгання завдань та контексту впровадження. Для криптовалютних платформ та трейдерiв, якi покладаються на автономнi агенти, це дослiдження — попередження: перед тим як надавати цим агентам контроль над коштами чи облiковими даними гаманця, необхiдно застосовувати строгу, контекстно-озрiлу оцiнку (як StakeBench) та сильнiшi захистнi механiзми.
Дослідження виявило, що AI-криптоагенти вразливі до атак через ін'єкцію запитів
ChainGPTПоділитися
Короткий зміст
Стурбованість CFT зросла після того, як дослідження виявило вразливість AI-криптоагентів до атак через ін'єкцію запитів. Дослідники з Університету технологій Наньян, ST Engineering, IBM Research та Університету Іллінойсу в Урбані-Шампейн використали StakeBench для тестування цих агентів. Вони виявили показники успішності 79% для прямих атак та 41,67%–68,16% для непрямих. Загроза прихованого паразитизму створює ризики для ліквідності та крипторинків. Зловмисники можуть нав'язувати токени або здійснювати неавторизовані угоди. Команда закликає до впровадження контекстно-ознайомленої безпеки до фінансового розгортання.
Джерело:Показати оригінал
Відмова від відповідальності: Інформація на цій сторінці може бути отримана від третіх осіб і не обов'язково відображає погляди або думки KuCoin. Цей контент надається лише для загального інформування, без будь-яких запевнень або гарантій, а також не може розглядатися як фінансова або інвестиційна порада. KuCoin не несе відповідальності за будь-які помилки або упущення, а також за будь-які результати, отримані в результаті використання цієї інформації.
Інвестиції в цифрові активи можуть бути ризикованими. Будь ласка, ретельно оцініть ризики продукту та свою толерантність до ризику, виходячи з ваших власних фінансових обставин. Для отримання додаткової інформації, будь ласка, зверніться до наших Умов використання та Розкриття інформації про ризики.