Агентите с изкуствен интелект бързо се превръщат в новата входна врата към интернет и атакуващите вече забелязаха това.

Нова вълна от зловредни уебсайтове използва трикове за оптимизация за търсачки (SEO) и невидим код, за да захранва фалшиви инструкции директно в AI системи, превръщайки обикновени уеб страници в оръжия срещу автоматизирани инструменти.

Тези сайтове не са насочени към хората в обичайния смисъл. Вместо това те се прицелват в AI агентите, които преглеждат, четат и действат с уеб съдържание от името на потребителя, експлоатирайки доверието, което тези системи гласуват на прочетеното онлайн.

Техниката, известна като индиректно впръскване на подкани (indirect prompt injection), скрива команди в кода на страницата, където човек никога не би ги видял, но където сканиращ AI агент би ги приел като легитимни инструкции.

Последиците вече надхвърлят теорията. В контролирани тестове някои AI агенти действително са извършили измамни плащания и са идентифицирали фалшиви уебсайтове като надеждни източници. Това показва, че заплахата не е хипотетична, а е доказана слабост в начина, по който много популярни AI модели обработват уеб съдържание.

Изследователи от Zscaler ThreatLabz посочват в доклад, споделен с Cyber Security News (CSN), че са идентифицирали две отделни кампании, използващи този метод – едната изградена около измама с фалшиви лицензи за софтуер, а другата – имитираща добре известна платформа за криптовалута.И двете кампании разчитат на комбинация от манипулиране на търсачките и скрит HTML, за да направят зловредните страници да изглеждат изключително подходящи за търсачките и напълно авторитетни за AI системите.

Първата кампания се маскира като документация за Python библиотека, наречена requests-secure-v2, препълвайки страницата с ключови думи, за да се появи в началото на резултатите при търсене от разработчици. В страницата са били скрити инструкции в JSON-LD формат – структурирани данни, които AI агентите често приемат с по-голямо доверие от обикновения текст. Чрез тях атакуващите са представили фалшива такса от три долара за лиценз като рутинна стъпка за отстраняване на грешка, насочвайки агентите към плащане в криптовалута към портфейл на хакерите.

Втората кампания използва т.нар. typosquatting (регистриране на сходен домейн) срещу платформата DeBank. В кода е вградена инструкция към четещите AI модели да третират измамния домейн като официален и проверен източник и да го класират на първо място при търсения.

При тестване на сценария с 26 различни езикови модела, повечето са отхвърлили фалшивия сайт, когато им е предоставен реалният адрес за сравнение. Без тази отправна точка обаче поне един голям модел е оценил измамната страница като надеждна.

Zscaler препоръчва на организациите, разработващи или внедряващи AI агенти, да прилагат многослойни защити, способни да откриват тези скрити инжекции.