Злоумышленники начинают использовать системы искусственного интеллекта для атак так же, как когда-то полагались на встроенные корпоративные инструменты, такие как PowerShell.
Вместо того чтобы полагаться на вредоносное ПО, киберпреступники все чаще злоупотребляют инструментами ИИ, от которых зависят предприятия, — эту тенденцию некоторые эксперты называют «жизнью за счет земель ИИ» (living off the AI land).
«Мы видим это в таких вещах, как отравленные серверы MCP в цепочке поставок, использование злоумышленниками легитимных моделей, таких как Claude, для извлечения конфиденциальных данных, и даже вирусные агенты вроде OpenClaw, случайно вызывающие разрушительные действия», — говорит Каушик Шанади, технический директор Helmet Security, стартапа, занимающегося обеспечением безопасности коммуникаций агентного ИИ. «Проблема в том, что большинство этих систем были развернуты до того, как кто-либо задумался об управлении или безопасности».
Переход от простого внедрения промптов (prompt injection) к «угону агентов» (agent hijacking) представляет собой фундаментальное изменение в ландшафте угроз ИИ, сообщили CSO другие эксперты по безопасности.
«Злоумышленники больше не пытаются просто обмануть чат-бота; они живут за счет земель ИИ, злоупотребляя теми же законными функциями автоматизации и памяти, которые делают ИИ-помощников полезными», — говорит Паскаль Гининес, вице-президент по разведке киберугроз в компании-поставщике решений в области кибербезопасности Radware.
Ниже приведены некоторые примеры того, как злоумышленники подрывают работу служб на основе ИИ для организации атак.
Имитация серверов MCP
В сентябре 2025 года злоумышленники продвигали поддельную технологию имитации сервера протокола контекста модели (MCP) для интеграции Postmark, сервиса транзакционных электронных писем, принадлежащего ActiveCampaign, в ИИ-помощники.
Поддельный пакет сервера MCP выглядел легитимным и функционировал как законный инструмент в 15 версиях, пока не было внесено однострочное изменение в код, из-за которого конфиденциальные сообщения — сбросы паролей, счета, внутренние служебные записки — незаметно перекачивались в течение нескольких дней до обнаружения взлома.
Вредоносный пакет, который привлекал 1500 загрузок в неделю в популярном реестре пакетов node.js, подвергал предприятия, полагающиеся на этот инструмент, форме атаки на цепочку поставок.
«Это эквивалент ИИ-подмены имени в реестре пакетов, за исключением того, что нет центрального органа MCP, проверяющего личность сервера, и нет криптографической связи между сервером MCP и организацией, которую он якобы представляет», — говорит Брэд Миклиа, генеральный директор Jozu, платформы для обеспечения безопасности ИИ и MLOps. «Это разрушает модель доверия еще до развертывания MCP».
Серверы MCP — которые позволяют агентам ИИ и чат-ботам подключаться к источникам данных, инструментам и другим сервисам — недавно стали объектом разнообразных (например, против встроенного браузера Cursor) и целенаправленных вредоносных атак. Блокировка этих систем для минимизации рисков стала приоритетом для корпоративных CISO.
«Эти серверы открывают доступ к инструментам, памяти и API для агентов ИИ, чтобы они могли выполнять задачи», — говорит Захра Тимсах, доктор философии, генеральный директор i-GENTIC AI, платформы управления агентным ИИ. «Если злоумышленник вставит отравленный инструмент, измененный коннектор или вредоносный источник поиска в эту цепочку, агент ИИ может выполнить его по незнанию».
Злоупотребление платформами ИИ в качестве скрытых каналов C2
Киберпреступники также злоупотребляют платформами ИИ в качестве скрытых каналов командно-контрольных пунктов (C2), превращая сервисы ИИ в прокси, которые скрывают вредоносный трафик в потоке легитимного контента.
Вместо запуска выделенного C2-сервера вредоносное ПО программируется для получения команд и эксфильтрации данных через сервисы ИИ, обходя при этом традиционные средства контроля безопасности.
Например, бэкдор SesameOp скрывал командный трафик внутри OpenAI Assistants API, маскируя инструкции для вредоносного ПО под обычную деятельность по разработке ИИ.
Это далеко не единичный пример, и потенциал для злоупотреблений огромен.
Например, Check Point Research продемонстрировала, как Microsoft Copilot и Grok могут быть манипулированы через их общедоступные веб-интерфейсы для получения контролируемых злоумышленником URL-адресов и возврата ответов. Такое поведение открывает двери для злоупотребления системами ИИ без необходимости использования ключа API или аутентифицированной учетной записи.
Отравление зависимостей в рабочих процессах ИИ
Вместо прямой атаки на систему ИИ некоторые нападения основывались на отравлении последующих зависимостей, от которых зависит агент для обработки данных.
В одном из случаев скомпрометированный пакет NPM был внедрен в цепочку зависимостей агентного рабочего процесса.
«Это отражает классические атаки на цепочку поставок (например, SolarWinds), но отравленная зависимость в конвейере агентного ИИ не просто утекает данные — она может изменять принятие решений агентом, выбор инструментов или вывод без какой-либо видимой аномалии», — говорит Миклиа из Jozu.
Двойные агенты
Некоторые злоумышленники используют уязвимости в агентах, а не злоупотребляют компонентами устаревшей ИТ-инфраструктуры предприятия.
Например, уязвимость внедрения команд «EchoLeak» в Microsoft 365 Copilot (CVE-2025-32711) показывает, что одного электронного письма со скрытыми инструкциями по внедрению промптов достаточно, чтобы заставить ИИ-помощника эксфильтровать внутренние файлы и электронные письма на внешний сервер без участия пользователя.
Серия уязвимостей (таких как CVE-2026-25253) в OpenClaw, популярном открытом личном ИИ-помощнике, создала путь для вредоносного веб-сайта, чтобы получить полный контроль над ИИ-агентом разработчика.
«Было обнаружено более 21 000 таких инцидентов, и исследователи также заметили, что 12% маркетплейса навыков для платформы OpenClaw распространяли вредоносное ПО», — говорит доктор Сулейман Озарслан, вице-президент Picus Labs в Picus Security, специализирующейся на имитации взломов и атак.
Исследователи безопасности из Varonis обнаружили атаку на Microsoft Copilot Personal, которая обошла встроенные средства защиты ИИ, просто попросив конфиденциальные данные дважды.
Уязвимость Reprompt — которая фактически превратила Microsoft Copilot в инструмент для эксфильтрации данных — была сообщена Microsoft, которая отреагировала выпуском исправления.
Шпионские кампании, оркестрованные ИИ
Anthropic обнаружила, что злоумышленники злоупотребляли Claude Code для управления операционными задачами в кампании кибершпионажа в сентябре 2025 года.
Предполагаемая группа, спонсируемая китайским государством и обозначенная как GTG-1002, использовала Claude Code для самостоятельного выполнения 80–90% тактических операций с частотой запросов, физически невозможной для операторов-людей.
Злоумышленники злоупотребляли агентными возможностями Claude Code для автоматизации процессов написания сценариев, исследования целей, создания инструментов для атак и других функций.
«Злоумышленники разложили свою операцию на тысячи мелких, по отдельности безвредных задач, в сочетании с ролевым обрамлением, которое убеждало модель, что она действует в рамках законной оценки безопасности», — объясняет Ягуб Рахимов, генеральный директор стартапа в области кибербезопасности Polygraf AI.
Создание модульных хакерских ИИ-платформ
Ландшафт угроз сместился от злоупотребления чат-ботами к созданию специализированных, вооруженных ИИ-стеков, таких как Xanthorox AI.
В отличие от универсальных LLM, Xanthorox — это специально созданная наступательная платформа, разработанная для киберпреступности. Платформа включает модули для таких функций, как генерация вредоносного ПО и эксплойты уязвимостей.
«Интеграция Hexstrike AI Model Context Protocol (MCP) позволяет Xanthorox выйти за рамки простого „взлома с помощью ассистента“ в область полностью автономных агентных систем, переводя его в сферу „вибрационного хакинга“ (vibe hacking)», — говорит Гининес из Radware. Hexstrike — это фреймворк для наступательного тестирования безопасности с открытым исходным кодом на базе ИИ, изначально разработанный для этичного тестирования на проникновение.
Проверка при доставке
Збинек Сопух, технический директор поставщика решений в области кибербезопасности Safetica, утверждает, что многие злоумышленники больше не просто используют уязвимости программного обеспечения, предпочитая вместо этого использовать доверие, которое организации оказывают ИИ.
«Это означает, что командам по безопасности необходимо относиться к ИИ-помощникам точно так же, как они относятся к привилегированным пользователям-людям: с жестким контролем, специальным мониторингом и, самое главное, никогда не предполагать, что кто-либо или что-либо безопасно», — заключает Сопух.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – John Leyden
