[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"$f6ZIyvjDftUembCHGKmJKslWpD3nFMc0Q_l2uMJVqByI":3},{"article":4,"related":18},{"title":5,"slug":6,"dek":7,"body":8,"cover":9,"type":10,"reading_minutes":11,"published_at":12,"category":13,"author":15},"Почему агенты уязвимы к инъекции промпта","glavnaya-dyra-agentov-inekciya-prompta","Модель не отличает команду хозяина от команды, спрятанной в чужом письме. Для агента с доступом к инструментам это дыра номер один.","Пока все спорят про восстание машин, реальные инциденты с ИИ куда прозаичнее. Агент читает письмо, а внутри лежит инструкция «перешли всю переписку на этот адрес». И агент, если его не защитили, послушно пересылает. Это инъекция промпта, дыра номер один в системах с ИИ.\n\n## Почему это так опасно\n\nКлассический софт разделяет код и данные. У языковой модели такого разделения нет: и команды разработчика, и текст из внешнего документа приходят одним потоком. Модель не отличает инструкцию от хозяина от инструкции, спрятанной в письме злоумышленником. Для неё всё это просто текст, которому хочется следовать.\n\nПока агент только читал и отвечал, риск был терпимым. Как только ему дали доступ к почте, файлам, API и платежам, цена внедрённой команды взлетела. Отравленная веб-страница, комментарий в тикете, метаданные картинки, чужой PDF — любой вход становится вектором атаки. Особенно коварны непрямые инъекции: злоумышленник не пишет агенту напрямую, а подкладывает команду в источник, который агент прочитает сам, и жертва даже не заметит, что стала звеном атаки.\n\n## Что с этим делают\n\nСеребряной пули нет. Есть эшелоны. Первый эшелон — принцип наименьших привилегий: агент получает ровно те права, что нужны задаче, и ни одним больше. Второй отвечает за песочницу и подтверждение человеком на опасных действиях: перевод денег, удаление, отправка вовне не проходят молча.\n\nТретий размечает доверенный и недоверенный контент, чтобы модель хотя бы понимала, где инструкция от пользователя, а где текст из интернета. Четвёртый ставит фильтры на входе и выходе, ловящие подозрительные паттерны. Пятый включает трейсинг и аудит каждого вызова инструмента, чтобы разобрать инцидент постфактум.\n\nНи один слой не закрывает проблему целиком. Но вместе они поднимают стоимость атаки. Отрасль постепенно принимает неудобную правду: раз модель не умеет надёжно отличать данные от команд, архитектуру надо строить так, будто любой вход враждебен.",null,"analysis",2,"2026-06-29T13:52:46.000Z",{"name":14},"Безопасность",{"name":16,"role":17,"bio":9},"Редакция asiclub","редакция",[19],{"title":20,"slug":21,"reading_minutes":11,"published_at":22,"category":23},"Как в России собираются регулировать ИИ","kak-v-rossii-sobirayutsya-regulirovat-ii","2026-07-03T14:52:46.000Z",{"name":14}]