Nowości

Fałszywe strony oszukują agentów AI, każąc im płacić hakerom

Agenty AIPatryk Raba
Spis treści
  1. Jak działa ukryta pułapka
  2. Skala problemu
  3. Dlaczego to ważne dla firm

Firma Zscaler opublikowała 2 lipca opis dwóch aktywnych kampanii, w których przestępcy ukrywają instrukcje w treści stron internetowych tak, by widziały je wyłącznie agenty AI przeszukujące sieć, a nie ludzie. Cel jest prosty: nakłonić autonomicznego agenta do wykonania płatności lub uznania fałszywej strony za zaufaną.

Technika nosi nazwę pośredniego wstrzyknięcia polecenia, po angielsku indirect prompt injection. W klasycznym ataku tego typu przestępca umieszcza polecenie bezpośrednio w rozmowie z modelem. Tutaj instrukcja czeka cierpliwie na stronie internetowej, aż odwiedzi ją agent AI wykonujący jakieś zadanie w internecie, na przykład szukający dokumentacji biblioteki programistycznej albo sprawdzający legalność serwisu finansowego.

Jak działa ukryta pułapka

W pierwszej kampanii ofiarą ma paść programista, a właściwie agent kodujący, który w jego imieniu szuka informacji o pakiecie o nazwie requests-secure-v2. Strona z fałszywą dokumentacją wygląda jak setki innych stron z API, ale zawiera niewidoczny dla człowieka tekst instruujący model, by w ramach rzekomej weryfikacji zapłacił niewielką kwotę w kryptowalucie na konkretny adres portfela Ethereum.

Druga kampania celuje w użytkowników szukających informacji o DeBank, popularnym narzędziu do śledzenia portfeli DeFi. Strona debank.auction została zoptymalizowana pod frazy takie jak DeBank Login, DeBank App czy Is DeBank safe, tak by trafiała wysoko w wynikach wyszukiwania i by agenty AI klasyfikujące wiarygodność stron uznawały ją za oryginał.

Agenty AI są podatne na podobne ataki jak ludzie - badacze Zscaler ThreatLabz

Skala problemu

Zscaler przetestował podatność na pierwszą kampanię na 26 różnych modelach językowych, symulując autonomicznego agenta z dostępem do przeglądarki i możliwością wykonywania płatności. Cztery modele dały się przekonać do zapłaty, w tym dwa warianty rodziny Llama oraz dwie wersje Gemini. W drugim scenariuszu, dotyczącym fałszywej strony DeBank, oszukane zostały GPT-5.4 i Claude Sonnet 4.5, choć w tym przypadku chodziło o błędną klasyfikację wiarygodności strony, a nie o bezpośrednią płatność.

Badacze zwracają uwagę, że kontekst ma ogromne znaczenie. Gdy agentowi dostarczono jednocześnie prawdziwą stronę DeBank jako punkt odniesienia, żaden z testowanych modeli nie dał się oszukać. Problem pojawia się głównie wtedy, gdy agent trafia na fałszywą stronę w izolacji, bez możliwości porównania jej z zaufanym źródłem.

Dlaczego to ważne dla firm

Wraz z rosnącą popularnością agentów kodujących i asystentów zakupowych, które samodzielnie przeglądają internet i podejmują decyzje finansowe, powierzchnia ataku rośnie. Firmy wdrażające agentów AI z dostępem do portfeli kryptowalutowych, kart płatniczych czy uprawnień do instalowania pakietów programistycznych powinny traktować każdą stronę odwiedzaną przez agenta jak potencjalnie wrogą, podobnie jak traktuje się nieznane załączniki e-mail.

Zscaler wskazuje, że sam przestępca stojący za kampanią requests-secure-v2 utrzymuje co najmniej 10 repozytoriów na GitHubie z podobnymi złośliwymi stronami, co sugeruje działanie na skalę, a nie pojedynczy eksperyment. To kolejny w ostatnich tygodniach przykład podatności wykrytych w narzędziach opartych na agentach AI, obok wcześniej opisywanych luk w asystentach kodujących.

Dla polskich firm wdrażających agentów AI do obsługi zamówień, zakupów czy automatyzacji procesów IT oznacza to konieczność ograniczania samodzielnych uprawnień płatniczych agentów oraz wymuszania weryfikacji źródeł przez zaufane listy domen, a nie poleganie wyłącznie na ocenie modelu językowego.

Źródła: Indirect Prompt Injection in Web Content Targets AI Agents (zscaler.com), Hidden Web Prompts Trick AI Agents Into Sending Money (securityaffairs.com)

Udostępnij: