ИИ-агенты могут делать покупки за вас, писать код для вас и, если вы готовы рискнуть, общаться за вас в мессенджерах. Но будьте осторожны: злоумышленники могут использовать вредоносные запросы в чате, чтобы обманом заставить ИИ-агента сгенерировать URL, утекающий данными, предварительный просмотр которого может быть извлечен автоматически.
Мессенджеры обычно используют предварительный просмотр ссылок, который позволяет приложению запрашивать ссылки, отправленные в сообщении, для извлечения заголовка, описания и миниатюры, которые отображаются вместо простой URL-адреса. Как обнаружила фирма по безопасности ИИ PromptArmor, предварительный просмотр ссылок может превратить URL-адреса, сгенерированные ИИ-агентом и контролируемые злоумышленником, в канал утечки данных с нулевым кликом, позволяющий раскрывать конфиденциальную информацию без какого-либо взаимодействия с пользователем.
Как отмечает PromptArmor в своем отчете, косвенная инъекция запросов через вредоносные ссылки не является чем-то новым, но обычно требует, чтобы жертва нажала на ссылку после того, как система ИИ была обманом заставлена добавить конфиденциальные пользовательские данные в URL, контролируемый злоумышленником. Когда та же техника используется против ИИ-агента, работающего в мессенджерах, таких как Slack или Telegram, где предварительный просмотр ссылок включен по умолчанию или в определенных конфигурациях, проблема становится намного серьезнее.
“В агентных системах с предварительным просмотром ссылок утечка данных может произойти немедленно после ответа ИИ-агента пользователю, без необходимости для пользователя нажимать на вредоносную ссылку”, — пояснили в PromptArmor.
Без предварительного просмотра ссылки ИИ-агент или оператор-человек должны перейти по ссылке, что приведет к сетевому запросу после того, как система ИИ была обманом заставлена добавить конфиденциальные пользовательские данные в URL, контролируемый злоумышленником. Как упоминалось, этот тип атаки с инъекцией запросов может извлечь различные типы конфиденциальных данных, такие как API-ключи и тому подобное, обманув ИИ-агента, заставив его добавить информацию в URL.
Поскольку предварительный просмотр ссылки извлекает метаданные с целевого веб-сайта, вся цепочка атаки может быть осуществлена без какого-либо взаимодействия: как только ИИ-агент будет обманут и сгенерирует URL, содержащий конфиденциальные данные, система предварительного просмотра автоматически извлечет их. Единственная разница в том, где находится URL, раскрывающий данные — в данном случае, в журнале запросов злоумышленника.
Вас не удивит узнать, что платформа для катастроф с агентным ИИ, использующая vibe-coded, OpenClaw уязвима к этой атаке при использовании конфигураций по умолчанию в Telegram, что, как отмечает PromptArmor, можно исправить, внеся изменения в конфигурационный файл OpenClaw, как подробно описано в статье, но, судя по данным, предоставленным PromptArmor, OpenClaw не является самым большим нарушителем.
Компания создала веб-сайт, где пользователи могут тестировать ИИ-агентов, интегрированных в мессенджеры, чтобы увидеть, вызывают ли они небезопасный предварительный просмотр ссылок. Основываясь на сообщениях о результатах этих тестов, Microsoft Teams занимает наибольшую долю предварительных просмотров, и в зарегистрированных случаях он используется в сочетании с собственным Copilot Studio от Microsoft. Другие зарегистрированные уязвимые комбинации включают Discord с OpenClaw, Slack с Cursor Slackbot, Discord с BoltBot, Snapchat с SnapAI и Telegram с OpenClaw.
Зарегистрированные безопасные настройки включают приложение Claude в Slack, OpenClaw, работающий через WhatsApp*, и OpenClaw, развернутый “в Docker через Signal в Docker”, если вы действительно хотите усложнить задачу.
Хотя это проблема с тем, как ИИ-агенты обрабатывают предварительный просмотр ссылок, PromptArmor отмечает, что исправление этой проблемы в значительной степени ляжет на мессенджеры.
“Коммуникационные приложения должны предоставить разработчикам возможность настраивать параметры предварительного просмотра ссылок, а разработчики агентов должны использовать предоставленные параметры”, — пояснила фирма по безопасности. “Мы хотели бы, чтобы коммуникационные приложения рассмотрели возможность поддержки пользовательских конфигураций предварительного просмотра ссылок на уровне чата/канала для создания безопасных для LLM каналов.”
А пока это еще одно предупреждение против добавления ИИ-агента в среду, где конфиденциальность имеет значение. ®
Facebook*, Instagram* и WhatsApp* принадлежат компании Meta* Platforms Inc., деятельность которой признана экстремистской и запрещена на территории Российской Федерации.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Brandon Vigliarolo
