Непрямі ін’єкції промптів: вразливості ШІ-аудиторів корпоративного коду

У березні 2026 року дослідники Cloudforce One (підрозділ компанії Cloudflare) зафіксували спроби маніпуляції системами виявлення через непряму ін’єкцію промптів коду (IDPI). Замість традиційних експлойтів, кіберзловмисник вбудовує приховані інструкції у вихідний код, щоб змінити логіку роботи великої мовної моделі.

Під час моніторингу платформи Workers було виявлено скрипти для VPN та проксі-тунелювання, які містили нестандартну аномалію — тисячі рядків багатомовних заголовків «Notice to AI». Це були природномовні інструкції, створені для переконання автоматизованого аудитора у цілковитій безпечності та легітимності рішення. Моделі часто надають пріоритет авторитетному тексту у своєму контекстному вікні, ігноруючи при цьому власне навчання з виявлення загроз.

Для оцінки впливу таких маніпуляцій команда провела масштабний експеримент, проаналізувавши 18 400 викликів API на базі 100 підтверджених шкідливих скриптів. Тестування охопило сім різних моделей штучного інтелекту, розділених на флагманські системи з високим рівнем міркування та базові високошвидкісні рішення.

Обсяг маніпулятивних вставок масштабували від єдиного коментаря до тисячі на один скрипт, розміщуючи їх випадковим чином по всьому тексту. Це дозволило імітувати реалістичну структуру розробки та виявити приховані межі, за якими ШІ-аудитор починає хибно класифікувати небезпечні об’єкти як цілком легітимні.

Дослідження виявило так звану U-подібну криву ефективності маніпуляцій, де помірна кількість коментарів успішно знижує рівень виявлення, тоді як екстремальні обсяги навпаки посилюють увагу системи.

Найвищий ризик виникає у «зоні обходу», коли такі заяви займають менш як 1% загального розміру файлу — у цьому проміжку середній показник виявлення падає з 67,3% до 53,3%.

Натомість інтеграція понад 1000 коментарів спрацьовує як характерний відбиток шахрайства. У таких випадках більшість моделей розпізнають насичення тексту заявами про безпеку як індикатор шкідливого наміру, внаслідок чого рівень блокування зростає до 99%.

Найнебезпечнішим відкриттям стало те, що структурне приховування перевершує лінгвістичний обман. Розміщення небезпечної логіки у файлах обсягом понад 3 МБ, що містять масивні легітимні бібліотеки на кшталт React SDK, перевантажує контекстне вікно моделі та знижує ефективність виявлення загроз до 12–18%.

Крім того, ШІ-аудитори демонструють специфічні лінгвістичні упередження. Наприклад, наявність коментарів російською або китайською мовами деякі моделі сприймають як потужний сигнал ризику, критично підвищуючи рівень виявлення, тоді як естонська мова інколи ненавмисно знижувала підозрілість аналізованого скрипту.

Захист автоматизованих конвеєрів перевірки вимагає глибокої перебудови процесів підготовки структур перед їх передачею на аналіз. Ключовим етапом стає впровадження автоматизованого видалення коментарів, що повністю нівелює лінгвістичний вплив на ШІ-моделі.

Додаткового захисту надає цілеспрямоване відкидання стандартного коду сторонніх компонентів під час роботи аналізаторів, що дозволяє аудитору концентруватися виключно на власній логіці розробника.

Також експерти наголошують на необхідності анонімізації найменувань змінних, щоб уникнути впливу «дружніх» або нейтральних назв на фінальний вердикт системи.

Окрім безпосереднього обходу перевірок, екстремальні обсяги інформаційного шуму здатні викликати структурний злам у міркуваннях флагманських ШІ-моделей. Замість класифікації загрози система відмовляється формувати відповідь і генерує незрозумілий текст або помилки. Це створює ситуацію функціонального паралічу, коли автоматизовані засоби кібербезпеки просто не можуть надіслати команду на блокування виконання об’єкта. Отже, сучасним організаціям потрібно не просто впроваджувати можливості ШІ, а інтегрувати його у грамотно спроєктований процес аналітики, очищений від будь-якого контекстного шуму.

Інтеграція автономних агентів у процеси перевірки коду відкриває нові можливості для технологічного бізнесу, але водночас робить самі моделі мішенями для маніпуляцій. Ефективний захист досягається завдяки правильній архітектурі: усуненню лінгвістичних пасток, фокусуванню на цільових сценаріях та запобіганню втомі контексту через надмірний обсяг вхідних даних.

Компанія iIT Distribution як офіційний дистриб’ютор рішень Cloudflare пропонує експертну підтримку під час впровадження сучасних систем інформаційної безпеки. Команда iIT Distribution супроводжує проєкти на всіх етапах — від оцінки архітектурних ризиків до розгортання та налаштування платформ виявлення загроз, допомагаючи партнерам гнучко й надійно захистити корпоративну інфраструктуру.