Модели машинного обучения перестали быть просто аналитическими инструментами. Они стали движущей силой принятия решений в современных предприятиях. Эта зависимость породила сложный вектор угроз, известный как атаки с использованием искусственного интеллекта. Это не традиционные эксплойты программного обеспечения, нацеленные на уязвимости кода, такие как переполнение буфера. Это оптические иллюзии для алгоритмов.
Анатомия атаки: как обманывают модели.
Злоумышленники используют изощренные методы, чтобы обмануть системы искусственного интеллекта и заставить их делать неверные классификации или раскрывать конфиденциальные обучающие данные. Для руководителей служб безопасности в 2025 году ставки изменились. Мы наблюдаем переход от теоретических исследований к активному применению этих методов в качестве оружия. Злоумышленники используют эти методы для обхода систем обнаружения мошенничества и манипулирования финансовыми алгоритмами.
Они также похищают конфиденциальные данные через те самые инструменты, которые сотрудники используют ежедневно. Браузер стал основной площадкой для этих вторжений. Это интерфейс, через который сотрудники вставляют конфиденциальный код в LLM-ы, и где вредоносные расширения могут незаметно внедрять опасные подсказки. Понимание механики атак на ИИ — первый шаг к обеспечению безопасности поверхности атаки от браузера к облаку.
Входные данные, используемые для атак с применением искусственного интеллекта, часто выглядят для человека как шум, но нейронная сеть интерпретирует их как отдельные сигналы. Это несоответствие позволяет злоумышленникам манипулировать результатами, не вызывая срабатывания традиционных систем безопасности. Методы, используемые для осуществления атак с применением искусственного интеллекта, обычно делятся на три отдельные категории.
Отравление данных: порча источника информации
Атаки с использованием вредоносных данных происходят на этапе обучения или тонкой настройки модели. Внедряя вредоносные образцы в набор данных, злоумышленник может создать скрытый бэкдор в модели. Злоумышленник может незаметно изменить набор фишинговых писем в обучающем корпусе. В результате спам-фильтр учится классифицировать определенные вредоносные шаблоны как безопасные.
В контексте GenAI это особенно опасно. Если предприятие дорабатывает помощника по программированию на основе внутренних репозиториев, которые были незаметно изменены, последствия могут быть серьезными. Модель может предлагать разработчикам небезопасные фрагменты кода, фактически автоматизируя появление уязвимостей.
Обход моделей: цифровая ловкость рук
Атаки с целью обхода защиты происходят на этапе вывода. Злоумышленник изменяет входные данные, чтобы модель неправильно их классифицировала. Это наиболее распространенная форма атак на ИИ, встречающаяся сегодня в реальных условиях. Классический пример — изменение нескольких пикселей на изображении дорожного знака «Стоп».
Автономный автомобиль создает опасную ошибку классификации и идентифицирует его как знак ограничения скорости. В корпоративной среде используются методы обхода классификаторов вредоносного ПО. Это позволяет вредоносным файлам проскальзывать мимо антивирусных решений нового поколения.
Извлечение и кража моделей
Кража модели предполагает, что злоумышленник исследует «черный ящик» системы искусственного интеллекта с помощью многочисленных запросов. Его цель — восстановить базовую модель или извлечь конфиденциальные данные, на которых она обучалась. Анализируя выходные данные, он может создать суррогатную модель, имитирующую собственное поведение целевой системы.
Это приводит к краже интеллектуальной собственности. Кроме того, это предоставляет злоумышленнику «песочницу» для тестирования будущих атак с целью обхода защиты в автономном режиме. Он может убедиться, что его методы будут работать против производственной системы, не предупреждая жертву.
Рост автоматизированных угроз в 2025 году
Порог входа для осуществления этих атак значительно снизился. Автоматизированные инструментарии теперь позволяют даже малоквалифицированным злоумышленникам запускать сложные кампании. Количество инцидентов неуклонно растет. Командам безопасности необходимо пересмотреть свою оборонительную стратегию.
Этот график иллюстрирует прогнозируемый рост числа кибер-инцидентов в мире на 72% в годовом исчислении. По мере внедрения организациями всё большего количества моделей, ожидается, что объём атак с использованием искусственного интеллекта достигнет беспрецедентного уровня: к 2025 году прогнозируется 28 миллионов инцидентов. Этот экспоненциальный рост подчёркивает, как автоматизированные инструменты снижают барьер для злоумышленников, осуществляющих масштабные атаки с использованием искусственного интеллекта.
Этот всплеск не случаен. Он обусловлен широким распространением инструментов искусственного интеллекта с открытым исходным кодом, которые можно перепрофилировать для наступательных действий. Злоумышленники используют GenAI для автоматического обнаружения уязвимостей в других системах ИИ. Это создает цикл враждебной оптимизации, который развивается быстрее, чем защитники-люди успевают устранять уязвимости.
Использование GenAI в качестве оружия: эпидемия фишинга
Генеративный ИИ коренным образом изменил правила игры в сфере социальной инженерии. Атаки с использованием генеративного ИИ — это не просто обман модели. Это использование модели для обмана людей. Злоумышленники теперь используют большие языковые модели (LLM) для создания контекстно-безупречных фишинговых писем.
Эти электронные письма имитируют тон и стиль внутренних руководителей. Эффективность этих кампаний, созданных с помощью ИИ, поразительна по сравнению с традиционными методами.
Сравнение показателей кликабельности (CTR) выявляет опасную эффективность атак с использованием генеративного ИИ. В то время как традиционные фишинговые кампании с трудом достигают успеха в 12%, созданные ИИ приманки, имитирующие доверенные внутренние коммуникации, демонстрируют поразительный показатель кликабельности в 54%. Эти данные подчеркивают критическую необходимость специализированной защиты браузеров для обнаружения тонких лингвистических и структурных аномалий социальной инженерии, осуществляемой с помощью генеративного ИИ.
Теперь решения для обеспечения безопасности браузеров должны выйти за рамки простой фильтрации URL-адресов. Им необходимо анализировать намерения и контекст отображаемого контента. Когда сотрудник взаимодействует с чат-ботом GenAI или получает подозрительное электронное письмо, расширение браузера выступает в качестве критически важной контрольной точки. Оно может выявлять аномалии, указывающие на то, что контент был сгенерирован искусственно с целью обмана.
Внедрение через Prompt: «SQL-инъекция» эпохи искусственного интеллекта
Одним из наиболее распространенных видов атак с использованием состязательных методов в генеративном ИИ является внедрение подсказок. Этот метод предполагает создание текстового ввода, который переопределяет исходные инструкции модели. Он заставляет систему выполнять несанкционированные действия.
Механизмы инъекции
Риск не ограничивается вводом вредоносных данных пользователями в чат. Реальная опасность заключается в косвенном внедрении подсказок, или атаках типа «человек в подсказке». В этом сценарии LLM может обрабатывать веб-страницу или документ, содержащий скрытые вредоносные инструкции.
Компания LayerX Labs выявила векторы, с помощью которых вредоносные расширения для браузеров передают эти опасные подсказки в корпоративные LLM-системы. Это происходит без согласия пользователя. Это позволяет злоумышленникам манипулировать результатами работы доверенных инструментов искусственного интеллекта. Фактически, это превращает полезного помощника в угрозу для внутренних пользователей.
Классификация рисков, связанных с незамедлительными инъекциями
| Тип атаки | Механизм | Уровень риска |
| Непосредственный впрыск | Злоумышленник вручную вводит вредоносные запросы для обхода фильтров безопасности (джейлбрейк). | Высокий |
| Непрямой впрыск | Вредоносные инструкции скрыты во внешних данных (например, веб-страницах), используемых искусственным интеллектом. | критический |
| Контекстное отравление | Манипулирование историей разговора для влияния на будущие ответы модели. | Средний |
В этой таблице классифицированы основные векторы внедрения вредоносного кода, представляющие собой специфическое подмножество атак с использованием ИИ. Непрямое внедрение представляет собой критическую опасность, поскольку происходит без ведома пользователя. Часто это происходит в рамках сценария «человек в подсказке», когда расширение браузера считывает скомпрометированную веб-страницу и передает вредоносные инструкции в корпоративную систему управления обучением (LLM).
Дилемма дипфейков и обеспечение идентичности
Та же технология, которая используется для создания полезных аватаров, теперь применяется для обхода систем проверки личности. Дипфейки перестали быть интернет-новинкой и превратились в угрозу безопасности корпоративного уровня.
Эта визуализация отражает взрывной рост атак на ИИ с использованием поддельных идентификационных данных. Только за первый квартал 2025 года количество зарегистрированных случаев использования дипфейков (179) уже превысило общее число за весь предыдущий год (150). Эта тенденция указывает на стратегический сдвиг в действиях злоумышленников в сторону использования GenAI для обхода биометрической верификации и выдачи себя за руководителей в рамках мошеннических кампаний с высокими ставками.
Эти атаки часто проявляются на платформах для видеоконференций или во время удаленных процессов приема на работу новых сотрудников. Злоумышленник использует наложение дипфейка в реальном времени, чтобы выдать себя за генерального директора или финансового директора. Он санкционирует мошеннические переводы или запрашивает конфиденциальные учетные данные. Организации должны внедрять средства защиты, способные обнаруживать цифровые артефакты синтетических медиафайлов.
Браузер: основная поверхность атаки
Почему браузер играет центральную роль в этом обсуждении? Потому что это интерфейс, через который сотрудники получают доступ к инструментам GenAI, таким как ChatGPT, Gemini или Claude. Это шлюз, через который атаки с использованием искусственного интеллекта достигают конечной точки.
Традиционные инструменты сетевой безопасности не видят зашифрованного трафика между браузером пользователя и сервисом искусственного интеллекта. Они не могут определить, вставляет ли сотрудник персональные данные в чат-бот. Они не могут определить, собирает ли расширение «теневого SaaS» эти данные незаметно. Исследование LayerX в области «теневого ИИ» показывает, что значительная часть утечек корпоративных данных происходит через неуправляемые расширения браузера.
Когда мы говорим о предотвращении атак на ИИ, мы должны рассматривать браузер как точку контроля. Это единственное место, где мы можем одновременно видеть ввод пользователя, выходные данные модели и контекст веб-сессии. Такая прозрачность позволяет в режиме реального времени удалять конфиденциальные данные.
Защитные стратегии в эпоху искусственного интеллекта.
Для защиты от этих сложных угроз необходим многоуровневый подход. Недостаточно полагаться на встроенные в модели фильтры безопасности. Предприятия должны интегрировать эти модели в собственные средства контроля безопасности.
«Красная команда» и «Фаззинг»
Организациям следует инициировать проактивное стресс-тестирование своих внедренных систем ИИ. «Красная команда» — это группа этичных хакеров, пытающихся взломать модели. Они проводят атаки с использованием враждебного ИИ для выявления уязвимостей.
Это часто сочетается с фаззингом. Фаззинг — это автоматизированный метод, при котором в модель подаются тысячи случайных или полуслучайных входных данных. Цель состоит в том, чтобы выяснить, не приведет ли какой-либо из них к сбою или к обнаружению обучающих данных.
Обнаружение и реагирование браузера (BDR)
Комплексное решение BDR действует как брандмауэр для веб-сессии пользователя. Оно может предотвратить установку вредоносных расширений, способствующих отравлению данных или краже моделей.
Кроме того, это позволяет организациям применять политические ограничения на использование GenAI. Это гарантирует, что сотрудники непреднамеренно не участвуют в атаках. Это предотвращает подверженность организации враждебным атакам в сфере генеративного ИИ из-за рискованного поведения.
Обеспечение безопасности будущего разведки
Игра в кошки-мышки между атакующими и защитниками вступила в новую фазу. Атаки со стороны злоумышленников представляют собой фундаментальную угрозу целостности систем, которые мы строим для нашего будущего.
Понимая нюансы атак на ИИ, руководители служб безопасности могут создавать отказоустойчивые архитектуры. Путь вперед не требует отказа от ИИ. Он требует обеспечения безопасности экосистемы, в которой он функционирует.
Это означает признание того, что браузер больше не является просто средством просмотра документов. Он представляет собой передовую линию защиты от враждебных атак в генеративном искусственном интеллекте. Благодаря тщательному тестированию и мониторингу в реальном времени предприятия могут уверенно ориентироваться в этом сложном мире.
