Artykuł źródłowy
Pułapki agentów AI
Franklin, Tomašev, Jacobs, Leibo, Osindero — Google DeepMind · SSRN 2025
Naukowcy z Google DeepMind opublikowali artykuł, który uważam za jedną z najważniejszych
publikacji dotyczących bezpieczeństwa w 2025 roku dla wszystkich, którzy wdrażają sztuczną inteligencję opartą na agentach w środowiskach podlegających regulacjom.
Przedstawiono w nim systematyczne ramy dotyczące „pułapek na agentów AI” — treści przeciwniczych
osadzonych w środowisku informacyjnym specjalnie w celu manipulowania autonomicznymi agentami.
To nie jest teoria. Opiera się na udokumentowanych atakach, empirycznych wynikach testów porównawczych
oraz rzeczywistych incydentach. I ma bezpośredni związek z lukami w zarządzaniu, o których pisałem
— począwszy od niekontrolowanego delegowania uprawnień.
„Zmieniając otoczenie, a nie model, pułapka wykorzystuje przeciwko niemu własne zdolności agenta”.
To jedno zdanie z artykułu trafnie oddaje sedno problemu. Zabezpieczaliśmy
modele. Zabezpieczaliśmy interfejsy API. Zabezpieczaliśmy infrastrukturę. Jednak autonomiczne
agenty korzystają z sieci — a sieć może teraz zostać wykorzystana jako broń przeciwko nim.
Sześć rodzajów ataków — i dlaczego mają one znaczenie dla Twojej firmy
W artykule wyróżniono sześć odrębnych kategorii pułapek agentów, z których każda dotyczy innej
warstwy funkcjonowania agentów autonomicznych. Oto, co każda z nich oznacza w praktyce:
Cel: Postrzeganie
Ukryte instrukcje osadzone w kodzie HTML, CSS, metadanych lub danych binarnych obrazów — niewidoczne dla ludzi, ale analizowane i realizowane przez agenty. Proste wstrzyknięcia poleceń do treści internetowych pozwalają częściowo przejąć kontrolę nad agentami w aż 86% przetestowanych scenariuszy.
Cel: Rozumowanie
Wpływa negatywnie na proces rozumowania agenta poprzez tendencyjne przedstawianie sytuacji, język sugerujący autorytet oraz sugestie kontekstowe — bez wydawania jakiegokolwiek jawnego polecenia. Agent dochodzi do błędnego wniosku, wierząc, że jego rozumowanie było poprawne.
Temat: Pamięć i uczenie się
Wpływa negatywnie na bazy RAG , magazyny pamięci długotrwałej lub demonstracje uczenia się w kontekście. Ataki utrzymują się niezależnie od sesji i użytkowników. Wystarczy wprowadzić zaledwie kilka dokumentów do bazy wiedzy, aby w sposób niezawodny manipulować wynikami wyszukiwania dla wybranych zapytań.
Cel: Działanie
Wbudowane jailbreaki, pułapki służące do wycieku danych oraz ataki polegające na tworzeniu podagentów. Agenci internetowi posiadający uprawnienia na poziomie systemu operacyjnego zostali zmuszeni do wycieku lokalnych plików i haseł, a wskaźnik skuteczności tych działań przekroczył 80%.
Cel: Dynamika systemów wieloagentowych
Wykorzystuje jednorodność agentów do wywoływania awarii na poziomie makro — ataków powodujących przeciążenie, awarii kaskadowych (podobnych do „Flash Crash” z 2010 r.), cichej zmowy oraz ataków typu Sybil, które zakłócają proces zbiorowego podejmowania decyzji.
Cel: Ludzki nadzorca
Zaprojektowane tak, by wywołać u ludzkich recenzentów zmęczenie procesem zatwierdzania, przedstawiać pozornie nieszkodliwe podsumowania złośliwych działań lub wykorzystywać tendencję do automatyzacji — omijając w ten sposób ostatnią warstwę ludzkiego nadzoru.
Związek z niekontrolowanym delegowaniem zadań
Stali czytelnicy dostrzegą związek między tym wpisem a moim wcześniejszym wpisem na temat
niekontrolowanego delegowania. W sekcji „Pułapki kontroli behawioralnej” tego artykułu wyraźnie
wskazano na pułapki związane z tworzeniem podagentów — sytuacje, w których atakujący zmusza agenta nadrzędnego
do instancjonowania złośliwych podagentów w ramach jego własnego, zaufanego przepływu sterowania.
Powiązany artykuł
Sztuczna inteligencja oparta na agentach ma ukryty problem: niekontrolowane przekazywanie zadań
W jaki sposób delegowanie uprawnień między agentami tworzy niejawne ścieżki zaufania, które omijają wszystkie wdrożone przez Ciebie mechanizmy zabezpieczeń.
To nie jest przypadek. Platforma DeepMind i problem delegowania mają
tę samą podstawową przyczynę: stworzyliśmy mechanizmy zabezpieczeń dla systemów deterministycznych,
a obecnie wdrażamy systemy autonomiczne.
Pułapka typu „Content Injection”, która przejmuje kontrolę nad agentem koordynującym, nie tylko naraża na zagrożenie
samego tego agenta. Dzięki delegowaniu uprawnień rozprzestrzenia się ona na każdego podagenta, którego tworzy
koordynator. Powierzchnia ataku powiększa się wraz z każdą warstwą hierarchii agentów.
Co artykuł mówi o dynamicznym maskowaniu — i dlaczego powinno to wzbudzić wasze zaniepokojenie
Jedno odkrycie, które mnie zaskoczyło: w artykule udokumentowano, że złośliwe strony internetowe potrafią
już wykrywać odwiedzające je agenty sztucznej inteligencji i wyświetlać im treści inne niż te, które widzą użytkownicy-ludzie.
Skrypt do identyfikacji na podstawie „odcisków palców” rozpoznaje elementy automatyzacji, cechy własności intelektualnej oraz
wskazówki behawioralne. Jeśli odwiedzający jest agentem AI, wyświetla się strona wizualnie identyczna,
ale różniąca się semantycznie — zawierająca osadzone ładunki służące do wstrzykiwania poleceń.
Ludzki recenzent nie dostrzega niczego niepokojącego. Agent otrzymuje polecenia dotyczące wycieku
danych lub niewłaściwego wykorzystania swoich narzędzi.
Wasi agenci już teraz poruszają się po sieci, która jest w stanie ich wykryć. A większość organizacji nie dysponuje żadnymi narzędziami do wykrywania takich działań.
Trzy wnioski, na podstawie których każdy CISO podjąć działania już teraz
RAG stanowią główną powierzchnię ataku
Wprowadzenie zaledwie kilku starannie przygotowanych dokumentów do korpusu wyszukiwania pozwala w sposób niezawodny manipulować wynikami agentów w przypadku ukierunkowanych zapytań — przy wskaźniku skuteczności ataku przekraczającym 80% przy poziomie zanieczyszczenia danych poniżej 0,1%. Jeśli Twoje agenty przeszukują wewnętrzne wiki, repozytoria dokumentów lub publiczne źródła internetowe, stanowi to aktywne zagrożenie.
Trwałość pamięci sprawia, że ataki mają długotrwały charakter
W przeciwieństwie do ataków percepcyjnych, pułapki stanu poznawczego utrzymują się między sesjami i wpływają na wielu użytkowników. Atak zasiany dzisiaj w pamięci agenta może ujawnić się tygodnie później, gdy określony kontekst spowoduje jego przywołanie. Zasadniczo zmienia to sposób oceny sytuacji w przypadku reagowania na incydenty.
Luka w zakresie odpowiedzialności jest rzeczywista i pozostaje nierozwiązana
W artykule wyraźnie to wskazano: jeśli agent, którego bezpieczeństwo zostało naruszone, popełni przestępstwo finansowe, podział odpowiedzialności między operatorem agenta, dostawcą modelu i właścicielem domeny pozostaje kwestią prawną otwartą. W branżach podlegających regulacjom ta niejasność jest Twoim problemem — a nie kogoś innego.
Czego to wymaga z punktu widzenia zarządzania
W artykule przedstawiono strategie ograniczania ryzyka na trzech poziomach. Oto jak przekładam
je na wymagania dotyczące zarządzania operacyjnego:
Weryfikacja źródła przed pobraniem — przed wprowadzeniem jakiejkolwiek treści zewnętrznej do kontekstu agenta należy ocenić jej wiarygodność. Nie chodzi tylko o reputację adresu URL — należy przeprowadzić analizę strukturalną pod kątem ukrytych instrukcji.
Kontrola integralnościRAG — traktuj swoją bazę wiedzy służącą do wyszukiwania jako granicę bezpieczeństwa. Kontrola dostępu, śledzenie pochodzenia oraz wykrywanie anomalii w wyszukanych treściach nie są opcjonalne w środowiskach podlegających regulacjom.
Tożsamość agenta i wzorce zachowań — nie da się wykryć nietypowych zachowań, nie wiedząc, jak wygląda normalne zachowanie. Każdy wdrożony agent wymaga ustalenia wzorca zachowań oraz monitorowania jego działania w czasie rzeczywistym w odniesieniu do tego wzorca.
Rejestrowanie łańcucha delegacji — jak omówiono w moim artykule poświęconym delegacji: cały łańcuch musi podlegać audytowi. Kontrola z udziałem człowieka nie ma żadnego znaczenia, jeśli osoby przeprowadzające przegląd widzą jedynie podsumowania na poziomie koordynatora, w których pominięto działania podległych agentów.
Ramy dotyczące odpowiedzialności i rozliczalności — należy jasno określić, kto ponosi odpowiedzialność za działania podmiotów w danym kontekście regulacyjnym. Nie należy czekać na wystąpienie incydentu, aby odkryć tę lukę.
Testy typu „red teaming” pod kątem zagrożeń związanych z agentami — dotychczasowa metodologia testów penetracyjnych nie została opracowana z myślą o autonomicznych agentach. Kategorie pułapek na agentów należy wyraźnie uwzględnić w programie modelowania zagrożeń i testów.
Podsumowując
Artykuł DeepMind kończy się zdaniem, które powinno wisieć na ścianie każdego zespołu zajmującego się zarządzaniem sztuczną inteligencją:
„Sieć została stworzona z myślą o ludzkim oku; obecnie jest przebudowywana z myślą o czytnikach maszynowych. Kluczowe pytanie nie dotyczy już tylko tego, jakie informacje istnieją, ale tego, w co nasze najpotężniejsze narzędzia zostaną zmuszone uwierzyć”.
Zapewnienie integralności tego, w co wierzą agenci — tego, co pozyskują, nad czym rozważają,
na podstawie czego podejmują działania — stanowi wyzwanie związane z zarządzaniem w erze agentów. Nie jest to problem
modelu ani problem infrastruktury. Jest to problem architektury zarządzania.
W odróżnieniu od wielu innych wyzwań związanych z bezpieczeństwem, czas na zajęcie się tą kwestią, zanim
oczekiwania organów regulacyjnych ukształtują się ostatecznie, jest ograniczony. Artykuł jest dostępny publicznie. Organy regulacyjne zapoznają się z wynikami badań.
Wymogi unijnej ustawy o sztucznej inteligencji dotyczące nadzoru ludzkiego i przejrzystości zostały sformułowane, zanim
„pułapki agentów” stały się uznaną kategorią zagrożeń. Nie zostaną one zaktualizowane, aby uwzględnić organizacje,
które nie zwracały na to uwagi.
#Cyberbezpieczeństwo
#AI
#Agentowa sztuczna inteligencja
#BezpieczeństwoAI
CISO
#ZarządzanieAI
#ZeroTrust
#Wstrzykiwanie podpowiedzi
OneCompliant
Określ powierzchnię ataku swojej agentycznej sztucznej inteligencji
OASAT OneCompliant analizuje systemy sztucznej inteligencji pod kątem kategorii pułapek agentów,
risk związanego z delegowaniem zadań oraz wymogów regulacyjnych dotyczących zarządzania — w ciągu 4–6 tygodni.