Отчет по практике Смирнов Никита

This commit is contained in:
ProgramX 2026-05-21 11:50:32 +03:00
parent 0941381c21
commit 0d1d5877f0

View file

@ -30,34 +30,38 @@
### Отчет обучающегося по практике
В современном информационном пространстве наблюдается стремительный рост применения автономных агентов на базе искусственного интеллекта. Платформы подобных агентов, такие как OpenClaw, предоставляют большим языковым моделям доступ к командной оболочке и браузеру, что позволяет им выполнять сложные многоэтапные задачи без прямого вмешательства пользователя. Однако наделение ИИ-агентов высокой степенью автономности порождает серьезные угрозы информационной безопасности. Основной целью прохождения ознакомительной практики являлось исследование уязвимостей ИИ-агентов к атакам извне и разработка специализированных безопасных программных модулей, позволяющих агенту взаимодействовать с финансовыми инструментами без риска компрометации данных пользователя.
В современном информационном пространстве наблюдается стремительный рост применения автономных агентов на базе искусственного интеллекта. Эволюция технологий машинного обучения привела к переходу от простых вопросно-ответных чат-ботов к системам, способным самостоятельно планировать и осуществлять многошаговые действия. Платформы подобных агентов, такие как OpenClaw, предоставляют большим языковым моделям доступ к командной оболочке и веб-браузеру, что позволяет им выполнять сложные многоэтапные задачи без прямого вмешательства пользователя. Подобные системы интегрируются с электронными почтовыми ящиками, локальными файловыми системами и корпоративными базами данных.
Работа в рамках практики была разделена на два основных этапа: аудит безопасности в составе команды тестирования уязвимостей и прикладная разработка защищенного финансового навыка для агента.
Однако наделение ИИ-агентов высокой степенью автономности порождает серьезные угрозы информационной безопасности. Проблема заключается в том, что архитектура большинства современных языковых моделей не предполагает жесткого разделения между системными инструкциями разработчика и внешними данными, которые обрабатывает модель. Основной целью прохождения ознакомительной практики являлось исследование уязвимостей ИИ-агентов к атакам извне и разработка специализированных безопасных программных модулей, позволяющих агенту взаимодействовать с финансовыми инструментами без риска компрометации конфиденциальных данных пользователя.
На первом этапе проводилось исследование уязвимости платформы OpenClaw к атакам типа непрямой инъекции инструкций. Суть данного класса атак заключается во внедрении вредоносных команд в данные, которые агент обрабатывает в ходе своей легитимной работы, включая входящие электронные письма, документы или веб-страницы. В случае отсутствия должной изоляции модель воспринимает внедренный текст как системную инструкцию и выполняет ее.
Работа в рамках практики была разделена на два основных этапа: аудит безопасности в составе команды тестирования уязвимостей и прикладная разработка защищенного финансового навыка для интеллектуального агента.
В ходе практических испытаний был реализован первый сценарий атаки под названием «Техническое препятствие». Агенту была поставлена задача проанализировать новые письма электронной почты. Одно из писем было сфабриковано и содержало инструкцию, согласно которой для расшифровки содержимого агенту требовалось выполнить сетевой запрос к внешнему ресурсу. В результате тестирования модель проигнорировала потенциальную угрозу в стремлении выполнить первоначальную задачу пользователя и осуществила подключение, передав в параметрах собственное системное имя. Это подтвердило наличие уязвимости, ведущей к утечке метаданных.
На первом этапе проводилось исследование уязвимости платформы OpenClaw к атакам типа непрямой инъекции инструкций. Суть данного класса атак заключается во внедрении вредоносных команд в данные, которые агент обрабатывает в ходе своей легитимной работы, включая входящие электронные письма, текстовые документы или содержимое веб-страниц. В случае отсутствия должной программной изоляции модель воспринимает внедренный текст как приоритетную системную инструкцию и выполняет ее, игнорируя первоначальные ограничения безопасности.
Для усложнения вектора атаки был проведен второй эксперимент, направленный на скрытую утечку файлов. В данном сценарии эксплуатировалась делегированная агенту автономность: пользователем была дана команда самостоятельно обрабатывать системные уведомления. Сфабрикованное письмо, замаскированное под технический протокол валидации, содержало скрытую команду на чтение локальных файлов конфигурации агента и их отправку на сторонний сервер. Для обхода базовых механизмов защиты применялось кодирование полезной нагрузки. Данный этап завершился полным успехом: агент выполнил чтение файлов, закодировал их и отправил полный архив данных на подконтрольный сервер, при этом скрыв факт передачи информации от пользователя. Выявленная уязвимость классифицирована как критическая, так как позволяет злоумышленнику перехватить управление агентом и похитить конфиденциальную информацию.
В ходе практических испытаний был реализован первый сценарий атаки под названием «Техническое препятствие». Агенту была поставлена задача проанализировать новые непрочитанные письма электронной почты и составить по ним краткую сводку для пользователя. Одно из писем было специально сфабриковано командой тестирования и содержало скрытую инструкцию, согласно которой для расшифровки основного содержимого сообщения агенту требовалось в обязательном порядке выполнить сетевой запрос к внешнему стороннему ресурсу. В результате тестирования модель проигнорировала потенциальную угрозу в стремлении выполнить первоначальную задачу пользователя и осуществила внешнее подключение, передав в параметрах URL-запроса собственное системное имя. Это подтвердило наличие уязвимости, ведущей к несанкционированной утечке метаданных системы.
Помимо этого, был составлен комплексный отчет по тестированию безопасности для векторов непрямой инъекции инструкций. В ходе проверок было выявлено, что использование кириллицы для сокрытия смысла команд успешно обходит базовые текстовые фильтры. Критической точкой отказа оказалась возможность прямой передачи агенту системных инструкций: внедрение вредоносного кода привело к беспрепятственной краже данных через встроенный инструмент выполнения команд.
Для усложнения вектора атаки и проверки глубины доступа модели был проведен второй эксперимент, направленный на скрытую утечку системных файлов. В данном сценарии эксплуатировалась делегированная агенту автономность: пользователем была дана команда самостоятельно обрабатывать рутинные системные уведомления без вывода промежуточных отчетов. Сфабрикованное письмо, замаскированное под легитимный технический протокол валидации рабочего пространства, содержало скрытую команду на чтение локальных файлов конфигурации агента и их отправку на удаленный сервер.
В то же время тестирование показало наличие у модели встроенных эвристических механизмов защиты. Так, атака с внедрением вредоносного скрипта во вложенный документ, имитирующий письмо от системного администратора, потерпела неудачу: агент распознал неестественный тон текста и подозрительность внешнего запроса, отказавшись выполнять инструкцию. Аналогично, попытка инъекции в счет на оплату завершилась неудачей — агент корректно извлек структурированные данные о счете, но проигнорировал скрытый вредоносный текст.
Для обхода базовых механизмов защиты и текстовых фильтров применялось кодирование вредоносной полезной нагрузки. Данный этап завершился полным успехом. Агент беспрепятственно выполнил чтение запрошенных файлов конфигурации, алгоритмически закодировал их содержимое и отправил получившийся полный архив данных на подконтрольный сервер команды тестирования. При этом система намеренно скрыла факт передачи информации при формировании итогового отчета для пользователя, посчитав эту операцию фоновым техническим процессом. Выявленная уязвимость была классифицирована как критическая, так как она наглядно демонстрирует возможность полного перехвата управления действиями агента и бесшумного хищения любой конфиденциальной информации, к которой интеллектуальная система имеет доступ.
По результатам аудита безопасности был разработан комплекс мер противодействия. На первом уровне внедрен программный почтовый фильтр, блокирующий письма с подозрительными ключевыми словами. Для защиты от выполнения вредоносного кода предложены детекторы скрытых кодировок, предварительная классификация команд через дополнительную оценивающую языковую модель, а также строгая изоляция среды исполнения скриптов с запретом самостоятельного запуска процессов без подтверждения пользователем.
Помимо единичных экспериментов, был составлен комплексный отчет по тестированию безопасности, охватывающий различные векторы непрямой инъекции инструкций. В ходе проведения систематических проверок было выявлено, что использование символов кириллицы для сокрытия истинного смысла команд и обфускации кода успешно обходит базовые текстовые фильтры, настроенные на поиск стандартных англоязычных паттернов. Самой слабой точкой в архитектуре безопасности оказалась принципиальная возможность прямой передачи агенту системных инструкций для выполнения в командной оболочке. Внедрение вредоносного кода привело к мгновенной и беспрепятственной краже локальных данных через штатный встроенный инструмент выполнения команд, что потребовало пересмотра архитектуры прав доступа модели.
Вторым этапом практики стала разработка функционального модуля для безопасных покупок. ИИ-агент не должен иметь прямого доступа к реквизитам банковских карт пользователя, поэтому была выбрана концепция передачи управления платежной сессией человеку посредством Системы быстрых платежей (СБП). Разработка велась итеративно.
В то же время, процесс тестирования показал наличие у используемой языковой модели встроенных эвристических механизмов защиты, которые способны блокировать определенные классы угроз. Например, атака с внедрением вредоносного скрипта во вложенный документ, который имитировал официальное письмо от системного администратора с требованием срочного обновления, потерпела неудачу. Агент самостоятельно проанализировал текст, распознал неестественный, манипулятивный тон сообщения и выявил подозрительность требования выполнить внешний сетевой запрос. На основании этого модель отказалась выполнять опасную инструкцию и предупредила пользователя о возможной попытке обмана. Аналогично, попытка инъекции скрытых команд в легитимный счет на оплату услуг завершилась неудачей. Агент корректно обработал документ, извлек исключительно структурированные данные о номере счета, дате и сумме оплаты, но полностью проигнорировал скрытый вредоносный текст, не относящийся к финансовой информации.
Первая версия программного модуля представляла собой базовый инструментарий для автоматизации браузера. Агент извлекал платежные ссылки напрямую из внутренней структуры веб-страницы, минуя текстовую обработку моделью. Это было необходимо для предотвращения подмены ссылок при возможных инъекциях вредоносного кода. Пользователю в мессенджер отправлялась прямая ссылка на оплату. Однако тестирование выявило недостаточную оптимизацию: процесс поиска товаров занимал длительное время, агент допускал ошибки при интерпретации итоговой стоимости заказа и испытывал сложности в анализе отзывов покупателей.
Опираясь на результаты проведенного аудита безопасности, исследовательская группа разработала комплексный набор мер противодействия выявленным угрозам. На первом уровне защиты был спроектирован и внедрен программный почтовый фильтр, который в автоматическом режиме блокирует входящие сообщения, содержащие подозрительные ключевые слова, фрагменты программного кода и признаки скрытого форматирования текста. Для обеспечения более надежной защиты от выполнения вредоносного кода были предложены дополнительные архитектурные решения. К ним относятся детекторы скрытых кодировок, основанные на анализе информационной энтропии, а также система предварительной классификации намерений. Последняя работает по принципу использования дополнительной изолированной языковой модели, выступающей в роли независимого проверяющего алгоритма перед выполнением любых действий основной системы. Кроме того, была введена строгая программная изоляция среды исполнения скриптов с абсолютным запретом на самостоятельный запуск фоновых процессов без явного предварительного подтверждения со стороны пользователя.
Вторая версия модуля была сфокусирована на строгом контроле транзакций. Агент опирался на жестко структурированный файл состояния корзины. Была внедрена трехуровневая защита, включающая валидацию платежного шлюза по списку доверенных банков, контроль суммы с мгновенной блокировкой транзакции при выявлении несоответствий, а также глубокий поиск платежных данных через алгоритмы распознавания текста и QR-кодов на скриншотах экрана. Агенту было категорически запрещено взаимодействовать с полями ввода номеров карт и защитных кодов. Несмотря на высокий уровень безопасности, излишне жесткие правила привели к снижению гибкости: при малейших изменениях визуального оформления сайтов магазинов выполнение задачи прерывалось.
Вторым, не менее важным этапом производственной практики стала разработка прикладного функционального модуля, предназначенного для совершения безопасных электронных покупок. Главным требованием безопасности являлось правило, согласно которому ИИ-агент ни при каких обстоятельствах не должен иметь прямого доступа к реквизитам реальных банковских карт пользователя. В связи с этим была выбрана концепция передачи управления платежной сессией непосредственно человеку посредством интеграции с Системой быстрых платежей. Процесс разработки программного обеспечения велся итеративно, с последовательным усложнением логики работы и повышением уровня надежности.
Финальной и оптимальной реализацией стал комплексный управляющий модуль. В данной версии применена концепция баланса между безопасностью и удобством. Архитектура программного решения была разделена на этапы планирования, ведения журнала заказа, взаимодействия с браузером через программные интерфейсы и проведения аудита корзины.
Первая рабочая версия программного модуля представляла собой базовый инструментарий, направленный на автоматизацию управления интерфейсом веб-браузера. В рамках данного подхода алгоритм извлекал необходимые платежные ссылки напрямую из внутренней структуры разметки веб-страницы, минуя этап обработки текста самой языковой моделью. Это решение было критически необходимо для предотвращения риска подмены платежных ссылок в случае успешного внедрения вредоносного кода злоумышленниками. После успешного нахождения данных пользователю в мессенджер отправлялась прямая ссылка на оплату сформированного заказа. Однако последующее тестирование на реальных торговых площадках выявило недостаточную степень оптимизации. Процесс поиска нужных товаров занимал недопустимо длительное время, агент периодически допускал ошибки при вычислении итоговой стоимости заказа в корзине, а также испытывал серьезные сложности в обработке и анализе большого объема неструктурированных отзывов покупателей.
Агент работает непосредственно в авторизованной сессии пользователя, что обеспечивает мгновенную синхронизацию выбранных товаров с мобильными приложениями электронных магазинов. Для защиты от перерасхода вычислительных ресурсов агент запрашивает у системы только релевантную выжимку из нескольких наиболее полезных отзывов. В итоговом текстовом отчете фиксируются лишь ключевые достоинства и недостатки товара, что позволяет пользователю быстро принять обоснованное решение.
Вторая версия модуля была переработана и сфокусирована на строгом контроле всех этапов финансовых транзакций. Агент начал опираться в своей работе на жестко структурированный локальный файл состояния корзины, который выступал в роли неизменяемого контракта между пользователем и системой. На данном этапе была внедрена трехуровневая система защиты. Первый уровень включал валидацию платежного шлюза путем сверки адреса загруженной страницы со встроенным системным списком доверенных ресурсов. Второй уровень обеспечивал строгий контроль итоговой суммы с мгновенной блокировкой программного потока при выявлении любых расхождений между ожидаемой и фактической стоимостью. Третий уровень заключался в глубоком поиске платежных данных через применение алгоритмов оптического распознавания символов и детектирования графических кодов непосредственно на снимках экрана браузера. Агенту на программном уровне было запрещено взаимодействовать с любыми полями ввода защитных данных карт. Несмотря на достигнутый высокий уровень безопасности, излишне строгие правила привели к значительному снижению гибкости системы. При малейших изменениях визуального оформления сайтов электронных магазинов алгоритм не мог адаптироваться и прерывал выполнение поставленной задачи.
Особое внимание в новой версии уделено безопасности формирования заказа. Реализована адаптивная система цен, учитывающая скидки по картам лояльности торговых площадок. В процессе работы агент проводит интерактивный аудит: алгоритм сверяет текущее состояние корзины на сайте со своим внутренним журналом и автоматически исключает из заказа товары, добавленные пользователем ранее и не относящиеся к текущему запросу.
Финальной реализацией стал комплексный управляющий модуль, в архитектуре которого была применена концепция баланса между высоким уровнем безопасности и удобством повседневного использования. Логика работы программного решения была разделена на несколько независимых этапов: предварительное планирование, ведение подробного электронного журнала действий, безопасное взаимодействие с браузером через защищенные интерфейсы передачи данных и проведение автоматизированного аудита собранной корзины.
В части авторизации внедрен принцип строгой изоляции действий: при обнаружении требования ручного ввода проверочных кодов, логина или пароля агент приостанавливает работу и передает управление пользователю. Только после получения явного подтверждения алгоритм переходит к этапу оплаты. Агент открывает страницу шлюза, игнорирует поля ввода реквизитов карты, извлекает защищенную платежную ссылку и направляет пользователю финальный отчет с итоговой суммой для оплаты через банковское приложение. Данный подход практически полностью исключает вероятность утечки финансовых данных в случае компрометации языковой модели.
Важным нововведением стало то, что алгоритм функционирует непосредственно в уже авторизованной пользовательской сессии веб-браузера. Данное решение обеспечивает мгновенную синхронизацию выбранных позиций с мобильными приложениями электронных магазинов, позволяя человеку контролировать процесс с любого устройства. Для защиты от нецелевого расхода вычислительных ресурсов системы агент был ограничен в объеме потребляемой информации: он обрабатывает лишь релевантную текстовую выжимку из нескольких наиболее информативных отзывов. В итоговом структурированном отчете фиксируются исключительно подтвержденная стоимость, а также объективные достоинства и недостатки товара, что позволяет пользователю предельно быстро принять обоснованное решение о целесообразности приобретения.
Особое внимание в финальной сборке модуля уделено безопасности процесса окончательного формирования заказа. Реализована адаптивная система учета ценообразования, которая корректно распознает программы лояльности, скидочные карты и временные акции торговых площадок. В процессе работы программный агент проводит автоматический интерактивный аудит. Он самостоятельно сверяет текущее состояние электронной корзины на сайте магазина со своим внутренним журналом операций. При обнаружении расхождений система автоматически исключает из списка к оплате те товары, которые были отложены пользователем ранее и не относятся к текущей задаче, гарантируя абсолютную точность финального чека.
В части проверки прав доступа был внедрен принцип строгой аппаратной изоляции критических действий. При обнаружении на веб-странице требований ручного ввода проверочных кодов, ввода логина или пароля агент немедленно приостанавливает выполнение скриптов и передает управление интерфейсом напрямую человеку. Только после успешного прохождения проверок и получения команды продолжения работы алгоритм переходит к финальному этапу оплаты. Система открывает страницу платежного шлюза, программно скрывает любые формы для ввода реквизитов банковской карты, безопасно извлекает сформированную платежную ссылку Системы быстрых платежей и направляет пользователю защищенный итоговый отчет. Данный подход гарантирует архитектурную целостность процесса и полностью исключает вероятность утечки финансовых данных в случае компрометации базовой языковой модели.
Обобщая результаты проделанной работы, можно заключить, что в период прохождения ознакомительной практики было проведено успешное исследование механизмов безопасности автономных агентов. Смоделированные атаки продемонстрировали критическую необходимость внедрения многоуровневых систем защиты при предоставлении большим языковым моделям доступа к системным ресурсам. На основе выявленных уязвимостей были предложены программные фильтры и разработан сложный отказоустойчивый модуль для безопасного осуществления электронных покупок. Созданный комплекс обеспечивает баланс между автономностью искусственного интеллекта и контролем человека над финансовыми операциями, решая одну из главных проблем внедрения подобных технологий в повседневные бизнес-процессы. Практика позволила значительно углубить знания в сфере кибербезопасности нейросетей, а также развить навыки системного проектирования и программирования.