ИИ-ассистенты — новая дыра в безопасности. Как компании теряют деньги и данные из-за атак на их чат-ботов
/imgs/2025/07/09/16/6862654/214dc006e35ed208e3bf34d38896b5faf8cb8276.png)
© Создано при помощи нейросети
ИИ-ассистенты быстро вошли в корпоративную жизнь: они консультируют клиентов, ищут информацию во внутренних базах и даже генерируют коммерческие предложения. В основе большинства таких решений — архитектура RAG (Retrieval-Augmented Generation): ассистент сначала «вытягивает» данные из базы, потом генерирует ответ.
Ключевая проблема — бизнес редко задумывается о том, что ИИ-модель можно атаковать целенаправленно. Злоумышленникам даже не нужно взламывать серверы или красть пароли, достаточно грамотно «разговаривать» с ботом.
Применение чат-ботов на базе больших языковых моделей в публичных сервисах компаний действительно расширяет поверхность атаки. Сфера больших языковых моделей активно развивается, и с каждым днём появляются новые угрозы — от атак агентов до взлома интеграций через MCP (Model Context Protocol). Это подчёркивает необходимость и новых решений для безопасности LLM, и классических подходов — от защиты от DDoS до SIEM-мониторинга.
/imgs/2025/07/09/16/6862657/a445e574ede694e561658b4b9c67a358561139c5.jpg)
Как атакуют ИИ-ассистентов для бизнеса
Экономическое истощение (Denial-of-Wallet)
Самый массовый сценарий — атака на кошелёк.
Большинство ИИ-агентов работают по модели «оплата за токены» (символы генерации) или по подписке с привязкой к числу пользователей. Бизнес может оплачивать определённое прогнозируемое число токенов и делать использование ИИ-помощника бесплатным для клиентов в расчёте, что все запросы к боту будут сугубо по делу.
Однако достаточно пары злонамеренных пользователей, чтобы все расчёты полетели в тартарары, а бесплатный бот для удобства клиентов оказался поистине «золотым».
Как работает атака:
- Хакеры запускают ботов, которые имитируют осмысленный диалог.
- Спам-боты задают уточняющие вопросы, раздувают контекст, при этом ведут одновременно множество диалогов с ИИ.
- В результате бюджет на токены сгорает за часы.
При этом, если бизнес подключил автоматический переход на более дорогой тариф в случае истощения бюджета на токены и всплеска числа пользователей, атака может продолжаться, пока расходы не достигнут действительно болезненных масштабов.
Инъекции затравки (Prompt Injection)
Более серьёзный риск — утечка данных.
Через грамотно сформулированный запрос злоумышленник может «вытянуть» из ИИ конфиденциальную информацию: служебные документы, номера клиентов, контракты. Помимо того, что это подставляет компанию из-за нарушения законов о защите данных, это грозит репутационными и финансовыми потерями.
Такие атаки называют Prompt Injection — в этом случае сам промпт, который задают ИИ, становится причиной его некорректной работы и раскрытия данных.
При этом специалисты по кибербезопасности уже знают о таких сценариях и активно внедряют их в защищаемые системы.
Существуют фреймворки, такие как OWASP Top-10 для LLM, MITRE ATLAS или модель угроз от «Сбера», которые помогают предусмотреть инъекции затравки и атаки на истощение ресурсов (Denial-of-Service или Denial-of-Wallet).
Систематический OSINT (сбор инсайдов)
Не всегда нужна «дырка» в защите — иногда хватает цепочки невинных вопросов:
- Сколько людей обслуживаете за день?
- Какая загрузка?
- Открыты ли у вас вакансии?
Из таких крошек конкуренты собирают ценную аналитику: ёмкость продаж, динамика спроса, внутреннюю структуру.
Отравление данных (Data Poisoning)
Самый редкий, но тем не менее опасный сценарий. Если ИИ учится на пользовательских запросах, хакеры могут «отравить», то есть испортить датасет:
- Подбросить ложную статистику.
- Сбить приоритеты FAQ.
- Внедрить токсичные или абсурдные данные.
Результат — падение качества ассистента или манипуляция ответами.
Что с этим делать бизнесу
Простых «галочек» в настройках может оказаться недостаточно, чтобы защитить с любовью и трудом внедрённый в процессы ИИ от злонамеренных действий. Безопасность ИИ-ассистентов — это и архитектура, и жёсткие регламенты.
Что советуют эксперты:
- Логировать и анализировать всю активность — от диалогов до всплесков запросов.
- Изолировать внутренние базы: ассистент должен работать с публичными данными.
- Настраивать капчи или подключение операторов, если бот фиксирует аномалии. При подозрительной активности лучше перепроверять вручную, а не задействовать автоматические протоколы для вбрасывания дополнительных денег в инфраструктуру.
- Регулярно чистить обучающие данные и не смешивать пользовательские запросы с внутренними.
- Ограничивать бесплатные функции и тестовые доступы.
- Разделять ИИ по функциям: отдельный модуль для поддержки клиентов, отдельный — для внутренних задач.
Не существует 100%-ной защиты, и атаки могут быть на любой ресурс, включая ИИ-ассистентов. Особенно уязвимы те, кто пытается построить одного всесильного ИИ-ассистента для всех задач. Успешная атака на такого бота может иметь серьёзные последствия.
Лучше делить функции на несколько узкоспециализированных ИИ-модулей. Тогда, даже если один будет скомпрометирован, остальные продолжат работать.
При всём при этом ИИ-ассистенты действительно упрощают работу и снижают нагрузку на людей. Но в попытке всё автоматизировать многие бизнесы не замечают, что открывают хакерам новую дверь.
В 2025-м защищать чат-бота — значит защищать компанию. Своевременный аудит, контроль данных и продуманная архитектура — минимум, который поможет не кормить злоумышленников своими токенами и не выносить конфиденциальную информацию наружу.