ИИ-агенты не защищены от prompt-инъекций: новый бенчмарк показал уязвимости GPT-5 и Gemini

Группа исследователей из Наньянского технологического университета, ST Engineering, IBM Research и Университета Иллинойса в Урбане-Шампейне опубликовала новое исследование, показавшее, что современные ИИ-агенты остаются уязвимыми для prompt-инъекций. Работа была представлена 12 июня 2026 года.

Учёные протестировали несколько передовых моделей, включая GPT-5 и Gemini, в сценариях, имитирующих реальные задачи: просмотр интернета, проведение исследований, онлайн-шопинг и торговля криптовалютами. Результаты показали, что прямые атаки успешно срабатывают более чем в 79% случаев, а скрытые инъекции, внедрённые в контент веб-страниц, регулярно меняли поведение агентов.

Prompt-инъекции — это тип атак, при которых вредоносные команды встраиваются в запросы или данные, обрабатываемые ИИ. В случае с ИИ-агентами, такими как автономные браузеры, это может привести к выполнению несанкционированных действий — например, переводу средств с криптокошелька или разглашению конфиденциальной информации. По словам исследователей, проблема усугубляется тем, что компании активно внедряют агентов для работы с конфиденциальными данными.

По данным отчёта, наиболее распространённые методы атак включают прямые текстовые инъекции в промпты и внедрение скрытых инструкций в веб-контент, который агент автоматически обрабатывает. В последнем случае пользователь может даже не подозревать, что посещение определённого сайта запустило цепочку нежелательных действий со стороны ИИ-агента.

Исследование подчёркивает, что prompt-инъекции остаются серьёзной проблемой безопасности даже на фоне быстрого прогресса в области языковых моделей. Ранее считалось, что улучшенные системы фильтрации и обучения снизят риски, однако новые результаты указывают на сохраняющиеся уязвимости, особенно в сценариях с множеством шагов и сложными контекстами.

В свете полученных данных авторы работы призывают разработчиков ИИ-агентов внедрять дополнительные механизмы защиты, такие как строгая изоляция выполнения команд и верификация действий агентов пользователем. Компании, уже запустившие автономные агенты для финансовых операций или управления учетными записями, могут столкнуться с рисками, которые ранее были недооценены.