Протягом останніх двох років бізнеси активно впроваджували великі мовні моделі (LLM) у сферу підтримки клієнтів, аналітики, розробки та внутрішньої автоматизації, як ніколи раніше.
Разом зі зростанням популярності технологій штучного інтелекту набирає обертів і нова тенденція: кіберзлочинці використовують розбіжності між припущеннями щодо LLM та їх фактичними характеристиками.
У 2025 та 2026 роках кілька незалежних джерел відзначили однакову тенденцію: “Prompt injection” (впровадження підказок) залишається одним із найвпливовіших та найпоширеніших векторів атак на системи LLM. OWASP LLM Top 10 (2025) класифікує “prompt injection” як LLM01, називаючи його найкритичнішою категорією вразливостей, специфічних для LLM, вже другий випуск поспіль. Рейтинг OWASP відображає той факт, що LLM все ще мають труднощі з надійним розрізненням інструкцій від даних, що робить їх вразливими до маніпуляцій через спеціально сформовані вхідні дані.
Звіт CrowdStrike Global Threat Report 2026, який базується на аналізі даних від понад 280 відстежуваних супротивників, задокументував, що у 2025 році зловмисники впроваджували шкідливі підказки у легітимні генеративні інструменти ШІ у понад 90 організаціях. Після цього вони використовували ці підказки для генерації команд, які призводили до викрадення облікових даних та криптовалюти. У звіті прямо зазначено: “Підказки – це новий шкідливий програмний код”. Обсяг загальних атак з боку супротивників, які використовують ШІ, зріс на 89% порівняно з попереднім роком, причому “prompt injection” слугував як точкою входу, так і прискорювачем атак.
Реальні інциденти ілюструють операційний вплив. У серпні 2024 року дослідники PromptArmor виявили вразливість “prompt injection” у Slack AI, яка дозволила зловмиснику отримати дані з приватних каналів Slack, до яких він не мав доступу, включно з ключами API, наданими в приватних каналах розробників. Це стало можливим шляхом розміщення шкідливої інструкції в публічному каналі або вбудовування її в завантажений документ.
У червні 2025 року дослідники Aim Security розкрили EchoLeak (CVE-2025-32711, CVSS 9.3) – перший задокументований експлойт “prompt injection” без взаємодії користувача (zero-click) проти виробничої системи ШІ, що націлився на Microsoft 365 Copilot. Надіславши одного спеціально сформованого електронного листа, що не потребує жодної взаємодії з користувачем, зловмисник міг змусити Copilot отримати доступ до внутрішніх файлів та передати їх вміст на сервер, контрольований зловмисником.
Обидві вразливості були виправлені. Ці інциденти підкреслюють той факт, що “prompt injection” є не теоретичною слабкістю, а практичною, повторюваною загрозою, яку організації повинні враховувати під час масштабування систем ШІ.
“Prompt injection” техніка зазнала значних еволюцій за останні роки, тепер націлюючись на багатоагентні архітектури, конвеєри генерації з доповненою вибіркою (RAG), маршрутизатори моделей та можливості довготривалої пам’яті.
Виклик для підприємств: надмірна довіра
Бізнеси розгортають LLM для обробки інструкцій, узагальнення інформації та запуску автоматизованих робочих процесів, але LLM важко розрізнити:
-
Інструкції від даних
-
Інформацію від контексту
-
Контекст від метаданих
-
Намір користувача від метаданих
Це створює можливості для зловмисників маніпулювати моделлю та впливати на її поведінку, прямо чи опосередковано.
Сучасний “prompt injection”
Міжмодельний “prompt injection”
Використання LLM є поширеною практикою серед підприємств. Зловмисники псують вивід певної моделі, добре знаючи, що інший вміст буде оброблятися іншими моделями. Таким чином, спотворення поширюється на всі системи ШІ.
Отруєння ланцюжка постачання RAG
Зловмисники створюють шкідливу інформацію – документацію, статті в блогах, README файли на GitHub. Потім вони чекають, поки ця шкідлива інформація буде завантажена в конвеєри RAG підприємств, і використовують її як вектор атаки.
Викрадення агентів
ШІ-агенти еволюціонували настільки, що можуть надсилати електронні листи, змінювати хмарну інфраструктуру, виконувати фрагменти коду та взаємодіяти з внутрішніми корпоративними системами. Достатньо однієї інструкції, щоб змусити агентів діяти інакше, завдаючи шкоди.
Атаки переповнення контексту
Завдяки контекстним вікнам з мільйонами токенів, зловмисники розміщують шкідливий код у документі, сподіваючись, що LLM натрапить на нього та виконає, таким чином перекриваючи всі попередні інструкції.
Отруєння пам’яті
Через реалізацію довготривалої пам’яті в LLM, зловмисники можуть вводити інструкції, які назавжди переналаштовують їхній стан.
Маніпуляція маршрутизаторами моделей
Підприємства все частіше використовують маршрутизатори моделей для вибору між кількома LLM. Зловмисники створюють підказки, які змушують маршрутизацію до найслабшої або найменш захищеної моделі.
Чому це важливо для керівників бізнесу
“Prompt injection” – це не теоретична проблема. Вона безпосередньо впливає на:
-
Системи, орієнтовані на клієнтів (чат-боти, агенти підтримки)
-
Внутрішні копілоти (інструменти розробника, помічники з безпеки)
-
Автоматизовані робочі процеси (обробка запитів, хмарні операції, HR-процеси)
-
Управління даними (RAG-конвеєри, бази знань)
Ризик більше не обмежується сценарієм “модель сказала щось недоречне”.
У 2026 році “prompt injection” може:
-
Ініціювати несанкціоновані дії
-
Витокувати конфіденційні дані
-
Спотворювати внутрішні робочі процеси
-
Маніпулювати аналітикою
-
Змінювати бізнес-логіку
-
Компрометувати багатоагентні системи
Поверхня атаки різко розширилася.
Що підприємствам слід робити зараз
1. Обмежувати дозволи моделі
Обмежте те, що модель може робити, а не лише те, що вона має робити.
2. Сегментувати недовірений контент
Ставтеся до всіх зовнішніх даних, включно з джерелами RAG, як до потенційно ворожих.
3. Відстежувати виклики інструментів
Вимагайте схвалення людиною для дій з високим впливом.
4. Перевіряти походження контенту
Переконайтеся, що RAG-конвеєри не завантажують шкідливий зовнішній контент.
5. Зміцнювати маршрутизатори моделей
Запобігайте примусовій маршрутизації зловмисниками до слабших моделей.
6. Ставитися до LLM як до недовірених компонентів
Ця зміна парадигми є основою сучасної безпеки ШІ.
Підсумок
“Prompt injection” залишається найефективнішим способом компрометації корпоративних систем ШІ, оскільки він експлуатує фундаментальний спосіб інтерпретації тексту LLM. Доки організації не почнуть ставитися до LLM як до недовірених інтерпретаторів, а не як до автономних осіб, що приймають рішення, “prompt injection” продовжуватиме домінувати в ландшафті загроз ШІ.
Джулі Бруніас — архітектор безпеки ШІ.
Ласкаво просимо до спільноти VentureBeat!
Наша програма гостьових публікацій — це місце, де технічні експерти діляться своїми знаннями та надають нейтральні, неупереджені глибокі аналізи щодо ШІ, інфраструктури даних, кібербезпеки та інших передових технологій, що формують майбутнє підприємств.
Читайте більше з нашої програми гостьових публікацій — і ознайомтеся з нашими рекомендаціями, якщо ви зацікавлені у внесенні власного внеску!
Як захиститися (Порада CryptoDom): Завжди уважно перевіряйте вивід LLM, особливо якщо він містить команди або конфігураційні параметри, перш ніж виконувати їх або передавати далі. Налаштуйте системи моніторингу, які відстежуватимуть незвичайні запити або дії, що ініціюються LLM.
Подробиці можна знайти на сайті: venturebeat.com