ИИ-агента можно атаковать через письмо, сайт, календарь, CRM-форму или память. — 6 июля 2026 г. в 13:52:26.815
ИИ-агента можно атаковать через письмо, сайт, календарь, CRM-форму или память. Сотрудник может не переходить по подозрительным ссылкам и не открывать вложения. Достаточно, чтобы ИИ-агент сам обработал внешний контент: письмо, страницу, описание встречи, заявку из формы или документ. Внутри может быть спрятана инструкция, которую человек не видит, а модель воспринимает как команду. Такие сценарии уже разбирали на реальных примерах: в Microsoft 365 Copilot вредоносную инструкцию прятали в Markdown-разметке письма, и Copilot мог через RAG-движок обработать её как часть задачи; в календарных инъекциях скрытая команда попадала в название или описание встречи; в Salesforce вредоносную инструкцию помещали в поле описания лида, после чего агент мог собрать данные из CRM и передать их через URL изображения; отдельный риск связан с памятью агента, потому что скрытая инструкция может повлиять не только на текущий запрос, но и на следующие действия. Если ИИ подключён к почте, CRM, облаку или базе знаний, его нужно ограничивать в правах, логировать его действия и не разрешать критичные операции без подтверждения человека. А сотрудников важно научить базовой гигиене: какие данные нельзя загружать в ИИ, какие сервисы нельзя использовать для рабочих задач и почему нейросеть с доступом к корпоративной информации может стать каналом утечки. 👉 Для этого мы подготовили памятку. Скачивайте, изучайте и отправляйте коллегам!