Дослідники з кібербезпеки виявили складний вектор атаки, який використовує особливості роботи інструментів пошуку на базі штучного інтелекту та автономних агентів для отримання веб-контенту.
Ця вразливість, що отримала назву «агентнозорова клоакинг» (agent-aware cloaking), дозволяє зловмисникам показувати різні версії веб-сторінок для AI-краулерів, таких як OpenAI Atlas, ChatGPT і Perplexity, одночасно демонструючи звичайним користувачам справжній контент.
Дана методика є суттєвим розвитком традиційних клоакинг-атак, адже вона експлуатує довіру, яку системи штучного інтелекту покладають на отримувані з інтернету дані.
Просте, проте небезпечне маніпулювання контентом
На відміну від класичних прийомів SEO-маніпуляцій, агентнозорова клоакинг функціонує на рівні доставки контенту за допомогою простих умовних правил, які ідентифікують заголовки user-agent AI.
- Коли AI-краулер звертається до вебсайту, сервер ідентифікує цю сесію та надає фальсифікований або «отруєний» контент.
- Людські відвідувачі при цьому бачать справжню веб-сторінку.
Саме проста реалізація цього підходу робить його вкрай ефективним і небезпечним — не вимагається жодних технічних експлойтів, достатньо лише інтелектуального перенаправлення трафіку.
Дослідницька команда SPLX провела контрольовані експерименти, які довели реальний вплив цього методу. У першому кейсі було створено вигаданий дизайнерський персонаж на ім’я Зерфіна Квортан із професійним портфоліо.
- При доступі через звичайні браузери сайт виглядав легітимним та доглянутим.
- Проте для AI-агентів типу Atlas і Perplexity сервер демонстрував іншу версію з «отруєним» контентом: Зерфіна описувалась як «потаємна саботажниця продуктів» із неправдивими звинуваченнями у проєктних невдачах та етичних порушеннях.
AI-системи без жодної перевірки або крос-валідації відтворювали цю фальшиву інформацію, подаючи її як достовірні факти.
Цей експеримент наочно показав базову уразливість сучасних систем AI, що збирають інформацію: штучний інтелект не має механізмів перевірки джерел та перекреслювання даних, які допомогли б виявити подібні невідповідності.
Отримуючи контент із веб-ресурсу, AI вважає його об’єктивною правдою і безпосередньо використовує у підсумках, рекомендаціях або автономних рішеннях без будь-якої людської перевірки або сигналів про ймовірну маніпуляцію.
Відлуння атак поза межами репутації
Вплив клоакингу виходить далеко за межі зіпсованої репутації. У другому експерименті команда фокусувалася на сфері автоматизації підбору персоналу, створивши п’ять резюме кандидатів із подальшим оцінюванням AI-агентами.
- Для резюме кандидата C5 сервер повертав надмірно роздуту версію із підвищеними титулами та перебільшеними досягненнями.
- Через це рейтинг кандидата різко зріс до 88 балів зі 100, посунувши Джесіку Моралес із 78 балів.
- Проте під час офлайн-оцінювання оригінальних резюме рейтинг повністю змінився: раніше улюблений кандидат зайняв останнє місце з 26 балами.
Таким чином, єдина умова маршрутизації трафіку вплинула на те, хто отримує запрошення на співбесіду.
Рекомендації щодо посилення захисту AI-систем від інтоксикації контентом
Організаціям рекомендується впровадити багаторівневі заходи безпеки для протидії подібним атакам:
-
Впровадження сигналів походження (provenance):
- Обов’язкове криптографічне підтвердження достовірності опублікованої інформації вебсайтами та контент-провайдерами.
-
Валідація краулерів:
- Забезпечення ідентичності контенту для різних user-agent для виявлення клоакингу шляхом автоматизованого тестування.
-
Постійний моніторинг вихідних даних AI-систем:
- Виявлення й маркування випадків суттєвих невідповідностей у висновках моделей у порівнянні з очікуваними шаблонами.
-
Тестування з урахуванням специфіки моделей (model-aware testing):
- Регулярна перевірка узгодженості поведінки AI під час опрацювання однакових зовнішніх даних через різні методи доступу.
-
Посилення верифікації вебресурсів:
- Встановлення систем репутації, що ідентифікують та блокують джерела, які намагаються ошукати AI-агенти до потрапляння отруєного контенту.
-
Запровадження людської перевірки:
- Особливо у критичних сферах, як-от підбір персоналу, дотримання нормативів і закупівлі, необхідно забезпечити виняткову участь людини в процесі прийняття рішень.
Спеціальна пропозиція до Місяця кібербезпеки: підвищуйте кваліфікацію за допомогою понад 100 преміальних курсів з кібербезпеки у рамках Diamond Membership від EHA — долучайтесь уже сьогодні.
