Вредоносные сайты взламывают ИИ-агентов и крадут деньги через PayPal — отчет Google

incrypted.com 3 ч

Security

Число атак с внедрением скрытых команд выросло на 32% за три месяца.
Злоумышленники встраивают инструкции в HTML-код для кражи данных и денег.
Некоторые атаки нацелены на платежи через PayPal и другие сервисы.

Команда безопасности Google зафиксировала рост атак на ИИ-агентов, которые используют вредоносные инструкции, скрытые в веб-страницах. Такие атаки позволяют злоумышленникам заставлять системы выполнять действия от имени пользователя — от передачи данных до финансовых операций.

Анализ охватил до 3 млрд веб-страниц ежемесячно.

Пример вредоносной инструкции в HTML-коде для ИИ-агента, направленной на кражу информации. Данные: Google.

Исследователи выявили рост атак на 32% с непрямым внедрением команд в период с ноября 2025 года по февраль 2026 года. Вредоносные инструкции маскируются в HTML-коде и остаются невидимыми для человека, но доступны для чтения ИИ-агентами.

Атаки нацелены на деньги и учетные данные

Злоумышленники используют различные методы сокрытия — от почти прозрачного текста до команд, встроенных в метаданные или комментарии страниц. В большинстве случаев атаки носят низкий уровень, однако более сложные сценарии представляют прямую угрозу.

В частности, исследователи зафиксировали попытки заставить ИИ передавать пароли и IP-адреса пользователей. Хакеры также пробуют принудить агентов выполнять команды форматирования устройств и инициировать финансовые операции.

Отдельные кейсы включали детализированные инструкции для перевода средств через PayPal, рассчитанные на агентов с доступом к платежным функциям.

Вредоносная команда, нацеленная на выполнение терминальных операций ИИ-агентом. Данные: Google.

Параллельно эксперты Forcepoint выявили атаки с перенаправлением платежей через Stripe и сценарии, направленные на выявление уязвимых систем перед более масштабными операциями.

Основной риск связан с тем, что такие действия выглядят как легитимные. ИИ-агент использует реальные учетные данные и выполняет разрешенные операции, что затрудняет обнаружение атак традиционными методами защиты.

Эксперты предупреждают, что по мере роста возможностей автономных систем, способных выполнять действия в реальном мире, масштаб и сложность атак будут увеличиваться. При этом юридическая ответственность за подобные инциденты остается неопределенной, поскольку отсутствует четкая нормативная база.

По классификации OWASP, подобные атаки относятся к критическим уязвимостям приложений. На фоне роста мошенничества с использованием ИИ такие сценарии могут стать новой точкой давления на корпоративную безопасность, считают аналитики.

Напомним, мы писали, что Ant Group представила платформу Anvita для транзакций ИИ-агентов в криптоинфраструктуре.