Nowości
Ukryte instrukcje na stronach nakłaniają agentów AI do płacenia hakerom kryptowalutą

Badacze Zscaler ThreatLabz udokumentowali dwie działające w praktyce kampanie, w których ukryte na stronach internetowych instrukcje nakłaniają autonomicznych agentów AI do przelewania kryptowaluty na portfele przestępców.
Spis treści
Firma bezpieczeństwa Zscaler opublikowała 2 lipca raport opisujący dwie kampanie ataków typu pośredni prompt injection, które nie są eksperymentem laboratoryjnym, lecz działają na żywo wobec agentów AI przeglądających internet i wykonujących zadania w imieniu użytkowników. W obu przypadkach ukryte na stronach instrukcje, niewidoczne dla człowieka, ale czytelne dla modelu językowego, nakłaniają agenta do przelania kryptowaluty na portfel kontrolowany przez atakującego lub do zaufania fałszywej stronie.
Jak działa atak
Mechanizm opiera się na tym, że agenty AI przeszukujące sieć w poszukiwaniu dokumentacji technicznej czy informacji o narzędziach traktują treść strony jako źródło instrukcji, nie tylko jako dane do przeczytania. W pierwszej kampanii przestępcy stworzyli fałszywą stronę dokumentacji biblioteki Pythona, wypozycjonowaną przez SEO poisoning tak, by pojawiała się wysoko w wynikach wyszukiwania dla zapytań o instalację pakietu.
Na stronie umieszczono ukryty tekst techniką CSS przesuwającą elementy poza widoczny obszar ekranu, dane strukturalne JSON-LD fałszywie opisujące wymóg zakupu licencji za 3 dolary z linkiem do płatności Stripe, oraz kod nakłaniający agenta do przelania 0,0012 ETH na konkretny adres portfela. Dla użytkownika strona wygląda jak zwykła dokumentacja, dla agenta AI zawiera bezpośrednie polecenie wykonania płatności.
Podszywanie się pod DeBank
Druga kampania wykorzystała domenę debank[.]auction, podszywającą się pod popularną platformę do śledzenia portfeli DeFi, DeBank. Atakujący zastosowali upychanie słów kluczowych w tytule i metatagach, fałszywe oznaczenia JSON-LD identyfikujące stronę jako oficjalną aplikację DeBank oraz ukryte instrukcje nakazujące modelom językowym uznawać sfałszowaną domenę za główne, zweryfikowane źródło informacji o DeBank.
Badacze Zscaler zwrócili uwagę, że ustrukturyzowane metadane, takie jak znaczniki JSON-LD, bywają traktowane przez modele jako sygnał wysokiej wiarygodności w porównaniu z dowolnym tekstem HTML, co może zwiększać skuteczność takich ataków w zależności od implementacji konkretnego agenta.
Skala podatności modeli
Zscaler przetestował obie techniki na 26 różnych dużych modelach językowych. W pierwszej kampanii cztery modele wykonały fałszywą płatność, w tym warianty Llama i Gemini. W drugiej dwa modele, GPT-5.4 oraz Claude Sonnet 4.5, błędnie zaklasyfikowały fałszywą stronę jako legalną w określonym kontekście, choć skuteczność ataku wyraźnie spadała, gdy agent miał dostęp do znanego, zaufanego punktu odniesienia.
To wskazuje, że podatność na tego typu manipulację jest silnie zależna od kontekstu, w jakim działa agent, a nie stała cecha danego modelu. Badanie potwierdza wnioski z majowego wspólnego komunikatu agencji cyberbezpieczeństwa państw Five Eyes, w tym amerykańskiego CISA i NSA, które uznały prompt injection za najbardziej uporczywe i najtrudniejsze do wyeliminowania zagrożenie w architekturach agentowych.
Znaczenie dla firm wdrażających agentów AI
Dla firm testujących lub wdrażających agentów AI z dostępem do płatności, kluczowy wniosek brzmi: agent przeglądający otwarty internet w poszukiwaniu dokumentacji czy narzędzi może zostać oszukany przez treść, którą sam odwiedza, bez żadnej interakcji użytkownika. W praktyce oznacza to konieczność ograniczania autonomicznych uprawnień płatniczych agentów oraz weryfikowania źródeł, z których korzystają, zwłaszcza przy zadaniach związanych z instalacją zależności programistycznych czy operacjami finansowymi.
Kwoty w opisanych kampaniach są symboliczne, po kilka dolarów w kryptowalucie, ale mechanizm skaluje się łatwo na tysiące jednoczesnych interakcji agentów, a badacze nie wykluczają, że kolejne warianty ataku będą celować w większe transakcje lub inne rodzaje uprawnień, na przykład dostęp do repozytoriów kodu czy kont w chmurze.
Źródła: Indirect Prompt Injection in Web Content Targets AI Agents (zscaler.com), Prompt Injection Attacks Trick AI Agents Into Making Crypto Payments (securityweek.com), Hidden Webpage Instructions Are Making AI Agents Pay Hackers in Live Campaigns (techtimes.com).


