AI-агенти, які автоматично оглядають веб-сайти, досліджують інформацію, здійснюють покупки або навіть торгують криптовалютою, залишаються дуже вразливими до атак ін'єкції запитів, попереджає нове багатоінституційне дослідження. Дослідники з Національного технологічного університету Наньян, ST Engineering, IBM Research та Університету Іллінойсу в Урбані-Шампейн протестували реальні налаштування агентів і виявили, що жоден з них не може надійно захиститися від ін'єкцій запитів — прихованих інструкцій, вбудованих у веб-контент, які змушують агента дотримуватися напрямків атакувача замість користувача. Команда стверджує, що сучасні стандарти безпеки надто «атако-орієнтовані» і не враховують, як шкода варіюється залежно від того, кому або чому служить агент. Щоб заповнити цю прогалину, вони розробили StakeBench — нову рамку оцінки, яка досліджує поведінку агентів у реалістичних онлайн-середовищах. Замість простого питання «чи може ця атака працювати», StakeBench вимірює, коли і як атака має значення, змінюючи три фактори, що стосуються розгортання: - Семантична відстань: наскільки вставлена мета відрізняється від початкового наміру користувача. - Середовищна консистентність: чи підсилюють чи суперечать оточуючі підказки вставленій інструкції. - Точка виконання: де саме у завданні агента з’являється шкідливий контент. Дослідники запустили 3 168 симульованих атак на дві веб-спроможні системи інструментів агентів (NanoBrowser і BrowserUse) з базовими моделями GPT-5 та Gemini 2.5-Flash. Результати дуже тривожні: - Прямі ін'єкції запитів успішно працювали більше ніж у 79% випадків у всіх протестованих конфігураціях. - Непрямі ін'єкції — більш приховані та релевантні для розгортання — мали успішність в діапазоні від 41,7% до 68,2%. Вони також зафіксували тривожний патерн, який назвали «прихованим паразитизмом»: агент виконує запитане користувачем завдання, водночас просуваючи приховану мету атакувача. На практиці це може означати, що агент все ще купує те, що запитав користувач, одночасно тонко змінюючи рекомендації, спрямовуючи трейдерів до певного токену, викрадаючи облікові дані або авторизуючи небажані платежі — все це без очевидних ознак компрометації. Це дослідження з’являється на тлі серії реальних інцидентів ін'єкції запитів. На початку цього року Microsoft попередила про приховані інструкції у посиланнях на AI-сумаризації, Google продемонструвала ін'єкції на веб-сторінках, які намагалися змусити агенти викрадати облікові дані або надсилати кошти, а пізніше Microsoft повідомила про пробоїну в ін'єкції запиту в GitHub Action Anthropic’s Claude Code, що загрожувала розголошенням облікових даних користувачів. Ключовий висновок для криптовалютних платформ і трейдерів: - Ін'єкція запиту — це не просто технічна експлуатація; її вплив залежить від зацікавленої сторони, ступеня збагачення меж атаки та завдання користувача, а також того, як агент архітектурно розгорнутий. - Автономні торгово-агентські системи та гаманці є привабливими целями: ін'єкція, яка тонко змушує рекомендації, змушує змінювати маршрутизацію замовлень або захоплює ключі, може призвести до прямих фінансових втрат. Що повиннi враховувати оператори: - Вважайте виводи агента та будь-який контент, який вони аналiзують, ненадiйним входом; застосовуйте очищення, перевiрку походження та полiтики контролю контенту. - Додайте детекцiю та монiторинг у часi виконання для виявлення незвичайного слiдування інструкцiям та зберiгайте людей у циклi для дiй з високим ризиком (великi перекази, привiлеґованi API-виклики). - Використовуйте еталони, такi як StakeBench, для оцiнки розгортань у реалiстичних, залежних вiд зацiкавленої сторони моделях загроз та посилюйте шари оркестрацiї агентiв, а не лише базову модель. Головний висновок авторiв: ризик ін'єкцiї запиту — це не один показник вразливостi моделi, а розподiл шкоди, що визначається нападниками, цiлями, контекстом та рiшеннями щодо розгортання. Для криптовалютного свiту — де на кону грошi та ключi — цей розподiл може швидко перетворитися на дорогу реальнiсть.
Дослідження виявило, що AI-торгові агенти вразливі до атак через ін'єкцію запитів
ChainGPTПоділитися
Короткий зміст
Нове дослідження ChainGPT показує, що AI-торгові агенти вразливі до атак через ін'єкцію запитів, а заходи CFT важко ефективно протистояти таким загрозам. Дослідники з Університету технологій Наньян, ST Engineering, IBM Research та Університету Іллінойсу в Урбані-Шампейн протестували кілька конфігурацій і не знайшли надійних захистів. Нова оціночна система StakeBench виявила, що прямі ін'єкції успішно працювали більше ніж у 79% випадків. Непрямі атаки мали рівень успішності від 41,7% до 68,2%. Стихійний паразитичний шаблон дозволяє нападникам маніпулювати агентами, одночасно виконуючи завдання користувача. Криптовалютним платформам закликають покращити безпеку, особливо у секторах ліквідності та крипторинків, застосовуючи очищення вхідних даних, моніторинг та людський контроль для високоризикованих дій.
Джерело:Показати оригінал
Відмова від відповідальності: Інформація на цій сторінці може бути отримана від третіх осіб і не обов'язково відображає погляди або думки KuCoin. Цей контент надається лише для загального інформування, без будь-яких запевнень або гарантій, а також не може розглядатися як фінансова або інвестиційна порада. KuCoin не несе відповідальності за будь-які помилки або упущення, а також за будь-які результати, отримані в результаті використання цієї інформації.
Інвестиції в цифрові активи можуть бути ризикованими. Будь ласка, ретельно оцініть ризики продукту та свою толерантність до ризику, виходячи з ваших власних фінансових обставин. Для отримання додаткової інформації, будь ласка, зверніться до наших Умов використання та Розкриття інформації про ризики.