Протягом останніх двох років бізнеси активно інтегрують великі мовні моделі (LLMs) у процеси підтримки, аналітики, розробки та внутрішньої автоматизації, як ніколи раніше.
Разом зі зростанням використання ШІ-технологій набирає обертів і інша тенденція: кіберзлочинці використовують розрив між припущеннями щодо LLMs та їхніми реальними характеристиками.
У 2025-2026 роках кілька незалежних джерел виявили однакову тенденцію: “Prompt injection” (ін’єкція запитів) залишається одним із найвпливовіших та найпоширеніших векторів атак на системи LLM. OWASP LLM Top 10 (2025) класифікує “prompt injection” як LLM01, визнаючи його найкритичнішою категорією вразливостей, специфічних для LLM, уже вдруге поспіль. Рейтинг OWASP відображає той факт, що LLM досі мають проблеми з надійним розрізненням інструкцій від даних, що робить їх вразливими до маніпуляцій за допомогою спеціально сформованих вхідних даних.
Звіт CrowdStrike “Global Threat Report 2026”, побудований на розвідданих з передової лінії, що охоплюють понад 280 відстежуваних супротивників, задокументував, що у 2025 році зловмисники впроваджували шкідливі запити у легітимні генеративні інструменти ШІ більш ніж у 90 організаціях. Після цього вони використовували ці ін’єкції для генерації команд, які викрадали облікові дані та криптовалюту. Звіт прямо констатує: “Запити — це новий шкідливий програмний код”. Кількість загальних атак з боку супротивників, що використовують ШІ, зросла на 89% рік до року, причому “prompt injection” діяв як точка входу та множник сили.
Реальні інциденти ілюструють операційний вплив. У серпні 2024 року дослідники PromptArmor виявили вразливість “prompt injection” у Slack AI, яка дозволила зловмиснику викрасти дані з приватних каналів Slack, до яких він не мав доступу, включно з ключами API, що були передані в приватних каналах розробників, шляхом розміщення шкідливої інструкції у публічному каналі або вбудовування її у завантажений документ.
У червні 2025 року дослідники Aim Security розкрили EchoLeak (CVE-2025-32711, CVSS 9.3) — перший задокументований експлойт “prompt injection” без взаємодії користувача (zero-click) проти промислової системи ШІ, націлений на Microsoft 365 Copilot. Надіславши один спеціально сформований електронний лист, який не потребував жодної взаємодії з користувачем, зловмисник міг змусити Copilot отримати доступ до внутрішніх файлів та передати їх вміст на сервер, контрольований зловмисником.
Обидві вразливості були виправлені. Ці інциденти підкреслюють той факт, що “prompt injection” є не теоретичною слабкістю, а практичною, повторюваною загрозою, яку організації повинні вирішувати, розгортаючи системи ШІ в масштабі.
“Prompt injection” техніки зазнали значних еволюцій за останні роки, тепер вони націлені на мультиагентні архітектури, конвеєри генерації з розширеним пошуком (RAG), маршрутизатори моделей та можливості довготривалої пам’яті.
Виклик для підприємств: Надмірна довіра
Бізнеси впроваджують LLM для обробки інструкцій, узагальнення інформації та запуску автоматизованих робочих процесів, але LLM важко розрізнити:
-
Інструкції від даних
-
Інформацію від контексту
-
Контекст від метаданих
-
Намір користувача від метаданих
Це створює можливість для зловмисників маніпулювати поведінкою моделі та впливати на неї, прямо чи опосередковано.
Сучасний “prompt injection”
Міжмодельний “prompt injection”
Використання LLM є поширеною практикою серед підприємств. Зловмисники пошкоджують вихідні дані певної моделі, добре розуміючи, що інший контент буде оброблятися іншими моделями. Таким чином, пошкодження поширюється через усі системи ШІ.
Отруєння ланцюга постачання RAG
Зловмисники створюють шкідливу інформацію — документацію, статті в блогах, README файли на GitHub. Потім вони чекають, доки ця шкідлива інформація буде завантажена до конвеєрів RAG підприємств, і використовують її як вектор атаки.
Викрадення агентів
ШІ-агенти розвинулися до такого рівня, що можуть надсилати електронні листи, модифікувати хмарну інфраструктуру, виконувати фрагменти коду та взаємодіяти з внутрішніми корпоративними системами. Потрібна лише одна інструкція, щоб змусити агентів діяти шкідливим чином.
Атаки переповнення контексту
За допомогою мільйонних вікон контексту зловмисники поміщають шкідливий код у документ, сподіваючись, що LLM натрапить на нього та виконає, таким чином перевизначаючи всі попередні інструкції.
Отруєння пам’яті
Через реалізацію довготривалої пам’яті в LLM, зловмисники можуть впроваджувати інструкції, які назавжди переналаштовують їхній стан.
Маніпуляція маршрутизатором моделей
Підприємства все частіше використовують маршрутизатори моделей для вибору між кількома LLM. Зловмисники формують запити, які змушують маршрутизацію до найслабшої або найменш захищеної моделі.
Чому це важливо для керівників бізнесу
“Prompt injection” — це не теоретична проблема. Це безпосередньо впливає на:
-
Системи, орієнтовані на клієнта (чат-боти, агенти підтримки)
-
Внутрішні копілоти (інструменти для розробників, помічники з безпеки)
-
Автоматизовані робочі процеси (обробка запитів, хмарні операції, HR-процеси)
-
Управління даними (RAG-конвеєри, бази знань)
Ризик більше не обмежується фразою “модель сказала щось, що не мала”.
У 2026 році “prompt injection” може:
-
Викликати несанкціоновані дії
-
Витокувати конфіденційні дані
-
Пошкоджувати внутрішні робочі процеси
-
Маніпулювати аналітикою
-
Змінювати бізнес-логіку
-
Компрометувати мультиагентні системи
Атакована поверхня різко розширилася.
Що підприємствам слід робити зараз
1. Обмежуйте дозволи моделі
Обмежуйте те, що модель може робити, а не лише те, що вона повинна робити.
2. Сегментуйте недовірений контент
Ставтеся до всіх зовнішніх даних, включно з джерелами RAG, як до потенційно ворожих.
3. Відстежуйте виклики інструментів
Вимагайте схвалення людиною для дій з високим впливом.
4. Перевіряйте походження контенту
Переконайтеся, що RAG-конвеєри не завантажують отруєний зовнішній контент.
5. Захищайте маршрутизатори моделей
Не дозволяйте зловмисникам примусово маршрутизувати до слабших моделей.
6. Ставтеся до LLM як до недовірених компонентів
Ця зміна парадигми є фундаментом сучасної безпеки ШІ.
Висновок
“Prompt injection” залишається найефективнішим способом компрометації корпоративних систем ШІ, оскільки він використовує фундаментальний спосіб інтерпретації тексту моделями LLM. Доки організації не ставитимуться до LLM як до недовірених інтерпретаторів, а не як до самостійних осіб, що приймають рішення, “prompt injection” продовжуватиме домінувати в ландшафті загроз для ШІ.
Джулі Бруніас – архітектор з безпеки ШІ.
Ласкаво просимо до спільноти VentureBeat!
Наша програма для запрошених авторів – це місце, де технічні експерти діляться своїми ідеями та надають нейтральні, неупереджені глибокі аналізи щодо ШІ, інфраструктури даних, кібербезпеки та інших передових технологій, що формують майбутнє підприємств.
Читайте більше від нашої програми запрошених авторів – і ознайомтеся з нашими рекомендаціями, якщо ви зацікавлені у написанні власної статті!
Як захиститися (Порада ІТ-Блогу): Завжди перевіряйте запити, які ви надсилаєте до систем ШІ, особливо якщо вони містять потенційно чутливу інформацію або складні інструкції. Також, за можливості, використовуйте механізми перевірки та фільтрації вхідних даних перед їх передачею моделі, щоб виявити та нейтралізувати шкідливі ін’єкції.
За даними порталу: venturebeat.com