AI-агенты атакуют AI-агентов: защитники используют prompt injection против hacking agents
AI-агенты атакуют AI-агентов: Tracebit показала defensive prompt injection и context bombing против hacking agents. Почему это не заменяет архитектурную защиту.
По состоянию на 14 июля 2026 года самый интересный сюжет дня про AI-агентов пришёл не из рынка генерации видео и не из очередного раунда стартапов, хотя там тоже есть новости. Главный сигнал пришёл из безопасности: защитники начали использовать prompt injection против автономных агентов, которые сами ищут уязвимости и пытаются закрепиться в облачной среде.
Исследователи Tracebit назвали приём context bombing. Суть простая: в приманку, например в decoy secret внутри AWS Secrets Manager, помещают короткий текст, который заставляет модель сработать на собственные защитные ограничения. Агент читает этот контекст, модель отказывается продолжать опасное действие, а команда безопасности получает сигнал, что приманку вскрыли.

Это не делает prompt injection «хорошим» приёмом само по себе. Но показывает неприятную симметрию: если агент доверяет найденному тексту как рабочему контексту, этим могут воспользоваться обе стороны.
Что именно проверила Tracebit
Tracebit прогнала 152 атаки в симулированной AWS-среде примерно с 300 ресурсами. В тестах участвовали пять моделей, которые компания называет самыми сильными в предыдущем исследовании: Opus 4.8, Gemini 3.1 Pro, GLM 5.2, DeepSeek 4 Pro и Kimi K2.6.
Базовый сценарий был без «бомбы». Во втором варианте в среде появлялся canary secret с context bomb. По данным Tracebit, доля запусков, где агент добирался до полного admin access, упала с 57% до 5%. Полная компрометация с закреплением снизилась с 36% до 1%. Доля запусков, где агент завершал хотя бы один атакующий путь, сократилась с 91% до 15%, а среднее число завершённых путей снизилось с 1,53 до 0,16.
Самый резкий результат компания приводит для Opus 4.8: в чистой среде агент получал admin access в 93% запусков, а при наличии context bomb не получил его ни разу. Важно читать эти цифры аккуратно: это тестовая среда Tracebit, а не универсальная гарантия для любой инфраструктуры и любого агента.
Почему это сработало
AI-агент во время атаки собирает контекст: вывод команд, содержимое файлов, секреты, имена ресурсов, подсказки из окружения. Если он действует автономно, найденный текст может попасть в окно контекста почти без человеческой проверки. Context bomb пользуется этим: подсовывает агенту материал, который для модели выглядит как повод остановиться.
Здесь есть два эффекта. Первый — поведенческий: агент перестаёт двигаться по атакующему сценарию. Второй — детектирующий: canary сообщает защитникам, что кто-то прочитал приманку. В прошлой работе Tracebit по AI-агентам и canaries компания уже показывала, что приманки часто срабатывают до критического действия атакующего агента. Новый эксперимент добавляет к сигналу попытку остановить саму атаку.
Похожий класс рисков уже обсуждался в материале Toolarium про то, как indirect prompt injection пересекается с supply-chain рисками LLM-агентов. Разница в том, что теперь тот же механизм смотрят с оборонительной стороны.
Короткая карта приёма
| Приём | Что делает | Где помогает | Ограничение |
|---|---|---|---|
| Context bombing | Кладёт в приманку текст, который провоцирует отказ модели продолжать опасную цепочку | Против автономных агентов, которые читают секреты, переменные окружения или другие decoy-ресурсы | Не заменяет изоляцию, права доступа и мониторинг действий агента |
| Canary secret | Даёт сигнал, когда приманочный секрет кто-то прочитал или использовал | В облаках, CI/CD, секрет-хранилищах и средах, где агент может перечислять ресурсы | Сам по себе чаще предупреждает, чем останавливает |
| Предупреждение агента о deception | Заставляет модель осторожнее относиться к найденным ресурсам | В тестах Tracebit снижало долю полной компрометации | Атакующий агент может адаптироваться, если его специально обучили обходить приманки |
Что это значит для команд, которые запускают агентов
Главный вывод неприятный: агентная система уязвима не только на входе пользователя. Всё, что агент читает по дороге, включая логи, README, ответы API, имена файлов, секреты и вывод терминала, тоже становится частью управляющего контура.
Поэтому защиту нельзя сводить к системному промпту. Нужны обычные инженерные меры: минимальные права, sandbox для выполнения команд, разделение доверенного и недоверенного контекста, подтверждение человеком для рискованных действий, журналирование tool calls и лимиты на операции с секретами. В соседнем материале мы отдельно разбирали, почему общие риски агентных систем нельзя закрыть одним промптом.
Context bombing может стать полезным слоем deception. Но если агент уже имеет лишние права, доступ к продакшен-секретам и возможность тихо выполнять команды, одна приманка не спасёт архитектуру. В лучшем случае она даст шанс поймать и сорвать часть сценариев.
Почему рядом всплывают PixVerse и Hermes
В тот же день TechCrunch сообщил ещё о двух новостях, которые показывают, куда движется рынок вокруг агентов и генеративных моделей.

PixVerse, сингапурский стартап в генерации видео, заявил о закрытии расширения Series C. По данным TechCrunch, общий объём раунда достиг $439 млн, а оценка компании превысила $2 млрд. Компания говорит о 150 млн зарегистрированных пользователей и 15 млн активных пользователей в месяц. Для темы безопасности это фон: генеративные инструменты становятся массовыми, а сложные модели всё чаще подключают к рабочим процессам, где они видят данные и принимают решения.

Вторая новость ближе к основной теме: Nous Research, команда за Hermes, по данным TechCrunch, обсуждает новый раунд минимум на $75 млн при оценке около $1,5 млрд. Hermes подаётся как open-source агент со skills, локальным запуском, VPS-сценарием и облачной версией. Чем больше таких агентов работает с инфраструктурой и внешними инструментами, тем важнее понимать, как они реагируют на недоверенный контекст. Раньше мы уже писали, что автономный AI-пентестер сам становится целью через вывод инструментов и ловушки.
FAQ
Что такое context bombing?
Context bombing — защитная prompt injection, которую помещают в приманочный ресурс. Когда автономный атакующий агент читает этот ресурс, текст попадает в контекст модели и может вызвать отказ продолжать опасную цепочку.
Чем защитная prompt injection отличается от обычной атаки?
Обычная prompt injection пытается заставить модель нарушить намерения владельца системы. Защитный вариант использует тот же класс уязвимости, но размещает его в decoy-ресурсе, чтобы остановить или обнаружить атакующего агента. Риск в том, что это всё равно хрупкий поведенческий приём, а не строгая граница безопасности.
Почему AI-агенты уязвимы к таким приёмам?
Агент действует через чтение и интерпретацию окружения. Если он не отделяет доверенные инструкции от случайного текста в файлах, логах и секретах, найденный контент может повлиять на следующие действия.
Что делать командам, которые запускают coding или security agents?
Ограничивать права агента, запускать инструменты в sandbox, логировать обращения к внешним ресурсам, отделять недоверенный ввод от управляющих инструкций и требовать human approval для действий с высоким риском. Canary и context bombing можно рассматривать как дополнительный слой обнаружения, но не как замену архитектурной защите.
Итог
Новость Tracebit важна не потому, что найден универсальный стоп-кран для AI-атак. Его нет. Важнее другое: автономные агенты уже достаточно активны и достаточно уязвимы к контексту, чтобы защитники начали проектировать среду специально под их ошибки. Для команд, которые внедряют агентов в разработку, безопасность или DevOps, это ранний практический урок: агент читает мир как инструкцию, и этот мир придётся проектировать так же внимательно, как API и права доступа.