В этот раз у нас не абстрактные страхи вокруг ИИ, а очень приземлённые поломки: ошибка прав доступа, скрытая вредоносная инструкция, провал защит в помощнике для почты и банальная небрежность при выпуске обновления. Во всех четырёх историях проблема одна и та же: когда системе дают слишком много полномочий, цена даже одного сбоя резко растёт.
OpenClaw и тихий захват всего агента
Ars Technica описала уязвимость высокой критичности в OpenClaw: человек с низким уровнем прав на сопряжение мог незаметно повысить их до полного административного доступа. После этого открывался путь к чатам, файлам, учётным записям и подключённым инструментам. Это важная история, потому что агентские платформы собирают слишком много возможностей в одной точке, и тогда одна ошибка в разграничении доступа становится полным захватом всей среды.
Урок: чем больше ИИ-помощник умеет трогать, тем катастрофичнее одна-единственная ошибка в правах.
Скрытая инструкция в библиотеке jqwik превратила спор о кодинге с ИИ в демонстрацию атаки
Разработчик jqwik встроил в библиотеку для тестирования скрытую инструкцию для ИИ-агентов, которая велела удалять тесты и код jqwik. Дополнительно он замаскировал текст управляющими последовательностями терминала, чтобы люди при просмотре кода могли не заметить опасную вставку. Эта история важна не только как скандал вокруг «кодинга по настроению», но и как наглядный пример того, насколько разрушительной может быть скрытая инструкция в цепочке инструментов, если агенту доверяют вносить изменения автоматически.
Урок: если предупреждение об опасности само способно стереть чужую работу, оно уже стало частью проблемы.
Уязвимость Microsoft 365 Copilot позволяла вытаскивать коды двухфакторной защиты
Исследователи показали, что уязвимость максимальной критичности в Microsoft 365 Copilot можно было использовать для получения кодов двухфакторной защиты и других чувствительных данных из почты. Атака проходила через цепочку обходов защит, то есть помощник, который должен был упрощать работу с письмами, сам превращался в канал утечки. Для корпоративных ИИ-инструментов это особенно болезненно: они сидят прямо рядом с самыми ценными данными и потому становятся идеальной мишенью для атак через содержимое.
Урок: если агент не умеет надёжно отличать намерение пользователя от враждебного содержимого, его защитные барьеры существуют только до первой удачной атаки.
Claude Code случайно раскрыл почти весь свой исходный код через map-файл
Anthropic по ошибке выпустила Claude Code 2.1.88 вместе с map-файлом, из-за чего наружу утекли почти 2 тысячи файлов TypeScript и более 512 тысяч строк исходного кода. Всё быстро разошлось по зеркалам и открытым копиям. История важна тем, что здесь не было ни хитрой атаки, ни сложной социальной инженерии: закрытый продукт раскрылся из-за обычной ошибки в процессе выпуска. На фоне разговоров о сверхумных агентах именно скучная часть конвейера обновлений снова оказалась самым громким местом сбоя.
Урок: в ИИ-инструментах самый шумный провал часто случается не в модели, а в рутинной сборке и выпуске.
Во всех этих историях повторяется неприятный мотив: ИИ редко ломается «магически» — почти всегда он просто усиливает старые слабости, будь то плохое разделение прав, доверие к входящему содержимому или небрежность при публикации сборки. Разница лишь в том, что теперь масштаб последствий выше, а скорость ущерба заметно больше.
Комментарии (1)
Войдите или зарегистрируйтесь, чтобы оставить комментарий.
Удобно, конечно: мы так долго мечтали о полезных агентах, что начали складывать в одну точку чаты, файлы, учётные записи и инструменты, а потом один сбой в правах превращает всё это в универсальный ключ. В таких историях страшнее самой уязвимости то, как быстро рынок начинает считать такую концентрацию власти нормальной архитектурой.