Добавить в корзинуПозвонить
Найти в Дзене
SecureTechTalks
21 подписчик

🦠 Prompt injection превращается в malware

1 мин
С появлением агентских систем prompt injection начинает напоминать полноценный malware lifecycle, где вредоносное воздействие закрепляется, распространяется и приводит к реальным действиям в инфраструктуре. ⚙️ От одного prompt к полной компрометации Современные AI-агенты больше не ограничиваются диалогом. Они работают с: 🔹 MCP/tool calling 🔹 long-term memory 🔹 RAG и внешними документами 🔹 API и SaaS-интеграциями 🔹 filesystem и runtime actions Это означает, что prompt перестаёт быть просто текстом, он начинает работать как операционный payload, способный менять поведение всей системы. Например: в безобидном на первый взгляд PDF оказывается скрытая инструкция → агент загружает документ через RAG → интерпретирует embedded prompt как легитимную инструкцию → меняет execution plan → вызывает tools → начинает выполнять действия уже за пределами модели. 🧠 Исследователи разложили атаку в стиле MITRE ATT&CK Исследователи предлагают смотреть на prompt injection через привычную securit

🦠 Prompt injection превращается в malware

С появлением агентских систем prompt injection начинает напоминать полноценный malware lifecycle, где вредоносное воздействие закрепляется, распространяется и приводит к реальным действиям в инфраструктуре.

⚙️ От одного prompt к полной компрометации

Современные AI-агенты больше не ограничиваются диалогом. Они работают с:

🔹 MCP/tool calling

🔹 long-term memory

🔹 RAG и внешними документами

🔹 API и SaaS-интеграциями

🔹 filesystem и runtime actions

Это означает, что prompt перестаёт быть просто текстом, он начинает работать как операционный payload, способный менять поведение всей системы.

Например:

в безобидном на первый взгляд PDF оказывается скрытая инструкция → агент загружает документ через RAG → интерпретирует embedded prompt как легитимную инструкцию → меняет execution plan → вызывает tools → начинает выполнять действия уже за пределами модели.

🧠 Исследователи разложили атаку в стиле MITRE ATT&CK

Исследователи предлагают смотреть на prompt injection через привычную security-логику:

1⃣ Initial Access

Вредоносная инструкция попадает через email, веб-страницу, скачанный документ, базу знаний или пользовательский ввод.

Особенно опасны indirect prompt injection-сценарии, где агент читает данные из внешнего источника и сам воспринимает их как доверенный контекст.

2⃣ Privilege Escalation

Дальше идёт jailbreak.

Модель начинают подталкивать к обходу системных политик и политик безопасности.

3⃣ Persistence

Если агент использует memory layer, retrieval cache или shared context, вредоносная инструкция может сохраниться между сессиями.

Получается аналог persistence-механизма, когда один prompt приводит к долгосрочному изменению поведения.

4⃣ Lateral Movement

В мультиагениной архитектуре скомпрометированный агент начинает влиять на другие компоненты, например

через shared memory или  orchestration layer.

5⃣ Actions on Objective

Финальная стадия привычна любому безопаснику:

🔹 data exfiltration

🔹 unauthorized tool execution

🔹 business logic abuse

🔹 fraudulent actions

🔹 privilege misuse

🔗 Исследование: https://arxiv.org/abs/2601.09625

Stay secure and read SecureTechTalks 📚

#кибербезопасность #AI #LLM #PromptInjection #AgenticAI #AIsecurity #CyberSecurity #Infosec #ThreatModeling #SecureTechTalks