Bezpieczeństwo · Analiza badawcza

Pułapki związane z agentami AI:
Powierzchnia ataku
, o której nikt nie mówi

Firma Google DeepMind opublikowała właśnie systematyczne ramy dotyczące nowej klasy zagrożeń: treści wrogich, stworzonych specjalnie w celu manipulowania, wprowadzania w błąd i wykorzystywania autonomicznych agentów sztucznej inteligencji. Oto, co każdy CISO zrozumieć — i podjąć odpowiednie działania już teraz.

Pułapki dla agentów AI — powierzchnia ataku przeciwnika dla agentów autonomicznych
Artykuł źródłowy
Pułapki agentów AI
Franklin, Tomašev, Jacobs, Leibo, Osindero — Google DeepMind · SSRN 2025

Naukowcy z Google DeepMind opublikowali artykuł, który uważam za jedną z najważniejszych publikacji dotyczących bezpieczeństwa w 2025 roku dla wszystkich, którzy wdrażają sztuczną inteligencję opartą na agentach w środowiskach podlegających regulacjom. Przedstawiono w nim systematyczne ramy dotyczące „pułapek na agentów AI” — treści przeciwniczych osadzonych w środowisku informacyjnym specjalnie w celu manipulowania autonomicznymi agentami.

To nie jest teoria. Opiera się na udokumentowanych atakach, empirycznych wynikach testów porównawczych oraz rzeczywistych incydentach. I ma bezpośredni związek z lukami w zarządzaniu, o których pisałem — począwszy od niekontrolowanego delegowania uprawnień.

„Zmieniając otoczenie, a nie model, pułapka wykorzystuje przeciwko niemu własne zdolności agenta”.

To jedno zdanie z artykułu trafnie oddaje sedno problemu. Zabezpieczaliśmy modele. Zabezpieczaliśmy interfejsy API. Zabezpieczaliśmy infrastrukturę. Jednak autonomiczne agenty korzystają z sieci — a sieć może teraz zostać wykorzystana jako broń przeciwko nim.

Sześć rodzajów ataków — i dlaczego mają one znaczenie dla Twojej firmy

W artykule wyróżniono sześć odrębnych kategorii pułapek agentów, z których każda dotyczy innej warstwy funkcjonowania agentów autonomicznych. Oto, co każda z nich oznacza w praktyce:

1
Pułapki związane z wstrzykiwaniem treści
Cel: Postrzeganie
Ukryte instrukcje osadzone w kodzie HTML, CSS, metadanych lub danych binarnych obrazów — niewidoczne dla ludzi, ale analizowane i realizowane przez agenty. Proste wstrzyknięcia poleceń do treści internetowych pozwalają częściowo przejąć kontrolę nad agentami w aż 86% przetestowanych scenariuszy.
2
Pułapki związane z manipulacją semantyczną
Cel: Rozumowanie
Wpływa negatywnie na proces rozumowania agenta poprzez tendencyjne przedstawianie sytuacji, język sugerujący autorytet oraz sugestie kontekstowe — bez wydawania jakiegokolwiek jawnego polecenia. Agent dochodzi do błędnego wniosku, wierząc, że jego rozumowanie było poprawne.
3
Pułapki stanu poznawczego
Temat: Pamięć i uczenie się
Wpływa negatywnie na bazy RAG , magazyny pamięci długotrwałej lub demonstracje uczenia się w kontekście. Ataki utrzymują się niezależnie od sesji i użytkowników. Wystarczy wprowadzić zaledwie kilka dokumentów do bazy wiedzy, aby w sposób niezawodny manipulować wynikami wyszukiwania dla wybranych zapytań.
4
Pułapki do kontroli zachowań
Cel: Działanie
Wbudowane jailbreaki, pułapki służące do wycieku danych oraz ataki polegające na tworzeniu podagentów. Agenci internetowi posiadający uprawnienia na poziomie systemu operacyjnego zostali zmuszeni do wycieku lokalnych plików i haseł, a wskaźnik skuteczności tych działań przekroczył 80%.
5
Pułapki systemowe
Cel: Dynamika systemów wieloagentowych
Wykorzystuje jednorodność agentów do wywoływania awarii na poziomie makro — ataków powodujących przeciążenie, awarii kaskadowych (podobnych do „Flash Crash” z 2010 r.), cichej zmowy oraz ataków typu Sybil, które zakłócają proces zbiorowego podejmowania decyzji.
6
Pułapki związane z udziałem człowieka w pętli sterowania
Cel: Ludzki nadzorca
Zaprojektowane tak, by wywołać u ludzkich recenzentów zmęczenie procesem zatwierdzania, przedstawiać pozornie nieszkodliwe podsumowania złośliwych działań lub wykorzystywać tendencję do automatyzacji — omijając w ten sposób ostatnią warstwę ludzkiego nadzoru.

Związek z niekontrolowanym delegowaniem zadań

Stali czytelnicy dostrzegą związek między tym wpisem a moim wcześniejszym wpisem na temat niekontrolowanego delegowania. W sekcji „Pułapki kontroli behawioralnej” tego artykułu wyraźnie wskazano na pułapki związane z tworzeniem podagentów — sytuacje, w których atakujący zmusza agenta nadrzędnego do instancjonowania złośliwych podagentów w ramach jego własnego, zaufanego przepływu sterowania.

Powiązany artykuł
Sztuczna inteligencja oparta na agentach ma ukryty problem: niekontrolowane przekazywanie zadań
W jaki sposób delegowanie uprawnień między agentami tworzy niejawne ścieżki zaufania, które omijają wszystkie wdrożone przez Ciebie mechanizmy zabezpieczeń.

To nie jest przypadek. Platforma DeepMind i problem delegowania mają tę samą podstawową przyczynę: stworzyliśmy mechanizmy zabezpieczeń dla systemów deterministycznych, a obecnie wdrażamy systemy autonomiczne.

Pułapka typu „Content Injection”, która przejmuje kontrolę nad agentem koordynującym, nie tylko naraża na zagrożenie samego tego agenta. Dzięki delegowaniu uprawnień rozprzestrzenia się ona na każdego podagenta, którego tworzy koordynator. Powierzchnia ataku powiększa się wraz z każdą warstwą hierarchii agentów.

Co artykuł mówi o dynamicznym maskowaniu — i dlaczego powinno to wzbudzić wasze zaniepokojenie

Jedno odkrycie, które mnie zaskoczyło: w artykule udokumentowano, że złośliwe strony internetowe potrafią już wykrywać odwiedzające je agenty sztucznej inteligencji i wyświetlać im treści inne niż te, które widzą użytkownicy-ludzie.

Skrypt do identyfikacji na podstawie „odcisków palców” rozpoznaje elementy automatyzacji, cechy własności intelektualnej oraz wskazówki behawioralne. Jeśli odwiedzający jest agentem AI, wyświetla się strona wizualnie identyczna, ale różniąca się semantycznie — zawierająca osadzone ładunki służące do wstrzykiwania poleceń. Ludzki recenzent nie dostrzega niczego niepokojącego. Agent otrzymuje polecenia dotyczące wycieku danych lub niewłaściwego wykorzystania swoich narzędzi.

Wasi agenci już teraz poruszają się po sieci, która jest w stanie ich wykryć. A większość organizacji nie dysponuje żadnymi narzędziami do wykrywania takich działań.

Trzy wnioski, na podstawie których każdy CISO podjąć działania już teraz

RAG stanowią główną powierzchnię ataku Wprowadzenie zaledwie kilku starannie przygotowanych dokumentów do korpusu wyszukiwania pozwala w sposób niezawodny manipulować wynikami agentów w przypadku ukierunkowanych zapytań — przy wskaźniku skuteczności ataku przekraczającym 80% przy poziomie zanieczyszczenia danych poniżej 0,1%. Jeśli Twoje agenty przeszukują wewnętrzne wiki, repozytoria dokumentów lub publiczne źródła internetowe, stanowi to aktywne zagrożenie.
Trwałość pamięci sprawia, że ataki mają długotrwały charakter W przeciwieństwie do ataków percepcyjnych, pułapki stanu poznawczego utrzymują się między sesjami i wpływają na wielu użytkowników. Atak zasiany dzisiaj w pamięci agenta może ujawnić się tygodnie później, gdy określony kontekst spowoduje jego przywołanie. Zasadniczo zmienia to sposób oceny sytuacji w przypadku reagowania na incydenty.
Luka w zakresie odpowiedzialności jest rzeczywista i pozostaje nierozwiązana W artykule wyraźnie to wskazano: jeśli agent, którego bezpieczeństwo zostało naruszone, popełni przestępstwo finansowe, podział odpowiedzialności między operatorem agenta, dostawcą modelu i właścicielem domeny pozostaje kwestią prawną otwartą. W branżach podlegających regulacjom ta niejasność jest Twoim problemem — a nie kogoś innego.

Czego to wymaga z punktu widzenia zarządzania

W artykule przedstawiono strategie ograniczania ryzyka na trzech poziomach. Oto jak przekładam je na wymagania dotyczące zarządzania operacyjnego:

Weryfikacja źródła przed pobraniem — przed wprowadzeniem jakiejkolwiek treści zewnętrznej do kontekstu agenta należy ocenić jej wiarygodność. Nie chodzi tylko o reputację adresu URL — należy przeprowadzić analizę strukturalną pod kątem ukrytych instrukcji.
Kontrola integralnościRAG — traktuj swoją bazę wiedzy służącą do wyszukiwania jako granicę bezpieczeństwa. Kontrola dostępu, śledzenie pochodzenia oraz wykrywanie anomalii w wyszukanych treściach nie są opcjonalne w środowiskach podlegających regulacjom.
Tożsamość agenta i wzorce zachowań — nie da się wykryć nietypowych zachowań, nie wiedząc, jak wygląda normalne zachowanie. Każdy wdrożony agent wymaga ustalenia wzorca zachowań oraz monitorowania jego działania w czasie rzeczywistym w odniesieniu do tego wzorca.
Rejestrowanie łańcucha delegacji — jak omówiono w moim artykule poświęconym delegacji: cały łańcuch musi podlegać audytowi. Kontrola z udziałem człowieka nie ma żadnego znaczenia, jeśli osoby przeprowadzające przegląd widzą jedynie podsumowania na poziomie koordynatora, w których pominięto działania podległych agentów.
Ramy dotyczące odpowiedzialności i rozliczalności — należy jasno określić, kto ponosi odpowiedzialność za działania podmiotów w danym kontekście regulacyjnym. Nie należy czekać na wystąpienie incydentu, aby odkryć tę lukę.
Testy typu „red teaming” pod kątem zagrożeń związanych z agentami — dotychczasowa metodologia testów penetracyjnych nie została opracowana z myślą o autonomicznych agentach. Kategorie pułapek na agentów należy wyraźnie uwzględnić w programie modelowania zagrożeń i testów.

Podsumowując

Artykuł DeepMind kończy się zdaniem, które powinno wisieć na ścianie każdego zespołu zajmującego się zarządzaniem sztuczną inteligencją:

„Sieć została stworzona z myślą o ludzkim oku; obecnie jest przebudowywana z myślą o czytnikach maszynowych. Kluczowe pytanie nie dotyczy już tylko tego, jakie informacje istnieją, ale tego, w co nasze najpotężniejsze narzędzia zostaną zmuszone uwierzyć”.

Zapewnienie integralności tego, w co wierzą agenci — tego, co pozyskują, nad czym rozważają, na podstawie czego podejmują działania — stanowi wyzwanie związane z zarządzaniem w erze agentów. Nie jest to problem modelu ani problem infrastruktury. Jest to problem architektury zarządzania.

W odróżnieniu od wielu innych wyzwań związanych z bezpieczeństwem, czas na zajęcie się tą kwestią, zanim oczekiwania organów regulacyjnych ukształtują się ostatecznie, jest ograniczony. Artykuł jest dostępny publicznie. Organy regulacyjne zapoznają się z wynikami badań. Wymogi unijnej ustawy o sztucznej inteligencji dotyczące nadzoru ludzkiego i przejrzystości zostały sformułowane, zanim „pułapki agentów” stały się uznaną kategorią zagrożeń. Nie zostaną one zaktualizowane, aby uwzględnić organizacje, które nie zwracały na to uwagi.

#Cyberbezpieczeństwo #AI #Agentowa sztuczna inteligencja #BezpieczeństwoAI CISO #ZarządzanieAI #ZeroTrust #Wstrzykiwanie podpowiedzi OneCompliant

Określ powierzchnię ataku swojej agentycznej sztucznej inteligencji

OASAT OneCompliant analizuje systemy sztucznej inteligencji pod kątem kategorii pułapek agentów, risk związanego z delegowaniem zadań oraz wymogów regulacyjnych dotyczących zarządzania — w ciągu 4–6 tygodni.