Атаки через инъекцию промптов: главная уязвимость корпоративного ИИ

Крупные языковые модели (LLM) активно интегрируются в корпоративные процессы, но их растущая популярность привлекает внимание киберпреступников. Одной из самых серьезных угроз остается инъекция промптов — метод атаки, эксплуатирующий неспособность моделей надежно отделять инструкции от данных. В 2025 году эта уязвимость была признана критически важной: OWASP включил ее в топ-10 угроз для LLM второй год подряд, а отчет CrowdStrike зафиксировал рост атак на 89% по сравнению с предыдущим годом.

Реальные инциденты подтверждают опасность проблемы. В августе 2024 года исследователи обнаружили уязвимость в Slack AI*, позволяющую злоумышленникам извлекать данные из закрытых каналов, включая API-ключи, через вредоносные инструкции в публичных чатах или документах. В июне 2025 года была выявлена уязвимость Microsoft 365 Copilot (CVE-2025-32711), позволяющая атакующему получить доступ к внутренним файлам через одно письмо без взаимодействия с пользователем. Оба случая были устранены, но они демонстрируют, что инъекция промптов — это не теоретическая угроза, а реальный риск для бизнеса.

Современные атаки нацелены на сложные архитектуры ИИ-систем. Злоумышленники используют межмодельную инъекцию, отравление RAG-конвейеров, захват агентов и манипуляцию маршрутизаторами моделей. Например, атаки на RAG-системы предполагают внедрение вредоносного контента в корпоративные базы знаний, который затем используется для манипуляции ИИ. Агенты, способные взаимодействовать с облачной инфраструктурой и внутренними системами, могут быть перехвачены через одну вредоносную инструкцию.

Для защиты от таких атак эксперты рекомендуют ограничивать права моделей, сегментировать недоверенный контент, проверять источники данных для RAG и мониторить вызовы инструментов. Ключевой шаг — рассматривать LLM как недоверенные компоненты, а не автономные системы принятия решений. Без таких мер инъекция промптов останется одной из главных угроз для корпоративного ИИ.