| README.md | ||
Смирнов Никита
Индивидуальное задание
Анализ уязвимостей систем искусственного интеллекта к атакам типа непрямой инъекции промпта и разработка безопасного программного модуля для проведения финансовых транзакций автономным ИИ-агентом с использованием архитектуры с участием человека в контуре управления.
План выполнения
| № п/п | Место проведения | Тема | Период выполнения |
|---|---|---|---|
| 1 | ООО “Группа компаний “Иннотех” | Инструктаж. | 09.02.2026-09.02.2026 |
| 2 | ООО “Группа компаний “Иннотех” | Изучение архитектуры ИИ-агентов на базе платформы OpenClaw. Моделирование угроз и векторов атак. | 10.02.2026-06.03.2026 |
| 3 | ООО “Группа компаний “Иннотех” | Проведение практического тестирования защищенности систем. | 07.03.2026-16.04.2026 |
| 4 | ООО “Группа компаний “Иннотех” | Изучение архитектуры алгоритмов. Разработка базовой версии инструмента интеграции с Системой быстрых платежей. | 17.04.2026-29.04.2026 |
| 5 | ООО “Группа компаний “Иннотех” | Разработка и оптимизация программных модулей автоматизации покупок и контроля финансовых транзакций. | 30.04.2026-25.05.2026 |
| 6 | ООО “Группа компаний “Иннотех” | Тестирование разработанных решений. Анализ производительности и уровня безопасности. | 26.05.2026-06.06.2026 |
| 7 | ООО “Группа компаний “Иннотех” | Оформление отчета. Подведение итогов. | 07.06.2026-07.06.2026 |
Отзыв руководителя практики от организации/предприятия
Обучающийся группы М8О-101БВ-25 Смирнов Никита Алексеевич проходил ознакомительную практику в ООО “Группа компаний “Иннотех” на базе студенческой лаборатории Lambda. За время прохождения практики студент занимался комплексным исследованием безопасности автономных ИИ-агентов на платформе OpenClaw, а также проектированием защищенных модулей для их работы.
В рамках тестирования защищенности систем практикант успешно смоделировал и провел серию атак типа «Непрямая инъекция промпта», выявив критические уязвимости, связанные с несанкционированным выполнением системных команд и скрытой утечкой пользовательских данных. По результатам тестирования студентом были предложены и внедрены эффективные меры противодействия, включая эвристические фильтры и запрет на выполнение опасных команд.
Во второй части практики студент разработал комплексный программный модуль для безопасного совершения электронных покупок и проведения транзакций. Разработанное решение реализует архитектуру с участием человека в контуре управления через интеграцию с Системой быстрых платежей. Данный подход полностью исключает риск компрометации банковских карт пользователя, обеспечивая при этом высокую автономность ИИ-агента при поиске и выборе товаров.
За время прохождения практики практикант показал необходимый уровень развития практических навыков и компетенций в процессе выполнения индивидуального задания. Студент продемонстрировал глубокие знания в области информационной безопасности нейросетевых моделей, навыки программирования на Python, а также умение проектировать отказоустойчивые и безопасные алгоритмы для интеллектуальных агентов.
Материалы, изложенные в отчёте обучающегося, полностью соответствуют индивидуальному заданию, рекомендуемая оценка «Отлично».
Отчет обучающегося по практике
В современном информационном пространстве наблюдается стремительный рост применения автономных агентов на базе искусственного интеллекта. Платформы подобных агентов, такие как OpenClaw, предоставляют большим языковым моделям доступ к командной оболочке и браузеру, что позволяет им выполнять сложные многоэтапные задачи без прямого вмешательства пользователя. Однако наделение ИИ-агентов высокой степенью автономности порождает серьезные угрозы информационной безопасности. Основной целью прохождения ознакомительной практики являлось исследование уязвимостей ИИ-агентов к атакам извне и разработка специализированных безопасных программных модулей, позволяющих агенту взаимодействовать с финансовыми инструментами без риска компрометации данных пользователя.
Работа в рамках практики была разделена на два основных этапа: аудит безопасности в составе команды тестирования уязвимостей и прикладная разработка защищенного финансового навыка для агента.
На первом этапе проводилось исследование уязвимости платформы OpenClaw к атакам типа непрямой инъекции инструкций. Суть данного класса атак заключается во внедрении вредоносных команд в данные, которые агент обрабатывает в ходе своей легитимной работы, включая входящие электронные письма, документы или веб-страницы. В случае отсутствия должной изоляции модель воспринимает внедренный текст как системную инструкцию и выполняет ее.
В ходе практических испытаний был реализован первый сценарий атаки под названием «Техническое препятствие». Агенту была поставлена задача проанализировать новые письма электронной почты. Одно из писем было сфабриковано и содержало инструкцию, согласно которой для расшифровки содержимого агенту требовалось выполнить сетевой запрос к внешнему ресурсу. В результате тестирования модель проигнорировала потенциальную угрозу в стремлении выполнить первоначальную задачу пользователя и осуществила подключение, передав в параметрах собственное системное имя. Это подтвердило наличие уязвимости, ведущей к утечке метаданных.
Для усложнения вектора атаки был проведен второй эксперимент, направленный на скрытую утечку файлов. В данном сценарии эксплуатировалась делегированная агенту автономность: пользователем была дана команда самостоятельно обрабатывать системные уведомления. Сфабрикованное письмо, замаскированное под технический протокол валидации, содержало скрытую команду на чтение локальных файлов конфигурации агента и их отправку на сторонний сервер. Для обхода базовых механизмов защиты применялось кодирование полезной нагрузки. Данный этап завершился полным успехом: агент выполнил чтение файлов, закодировал их и отправил полный архив данных на подконтрольный сервер, при этом скрыв факт передачи информации от пользователя. Выявленная уязвимость классифицирована как критическая, так как позволяет злоумышленнику перехватить управление агентом и похитить конфиденциальную информацию.
Помимо этого, был составлен комплексный отчет по тестированию безопасности для векторов непрямой инъекции инструкций. В ходе проверок было выявлено, что использование кириллицы для сокрытия смысла команд успешно обходит базовые текстовые фильтры. Критической точкой отказа оказалась возможность прямой передачи агенту системных инструкций: внедрение вредоносного кода привело к беспрепятственной краже данных через встроенный инструмент выполнения команд.
В то же время тестирование показало наличие у модели встроенных эвристических механизмов защиты. Так, атака с внедрением вредоносного скрипта во вложенный документ, имитирующий письмо от системного администратора, потерпела неудачу: агент распознал неестественный тон текста и подозрительность внешнего запроса, отказавшись выполнять инструкцию. Аналогично, попытка инъекции в счет на оплату завершилась неудачей — агент корректно извлек структурированные данные о счете, но проигнорировал скрытый вредоносный текст.
По результатам аудита безопасности был разработан комплекс мер противодействия. На первом уровне внедрен программный почтовый фильтр, блокирующий письма с подозрительными ключевыми словами. Для защиты от выполнения вредоносного кода предложены детекторы скрытых кодировок, предварительная классификация команд через дополнительную оценивающую языковую модель, а также строгая изоляция среды исполнения скриптов с запретом самостоятельного запуска процессов без подтверждения пользователем.
Вторым этапом практики стала разработка функционального модуля для безопасных покупок. ИИ-агент не должен иметь прямого доступа к реквизитам банковских карт пользователя, поэтому была выбрана концепция передачи управления платежной сессией человеку посредством Системы быстрых платежей (СБП). Разработка велась итеративно.
Первая версия программного модуля представляла собой базовый инструментарий для автоматизации браузера. Агент извлекал платежные ссылки напрямую из внутренней структуры веб-страницы, минуя текстовую обработку моделью. Это было необходимо для предотвращения подмены ссылок при возможных инъекциях вредоносного кода. Пользователю в мессенджер отправлялась прямая ссылка на оплату. Однако тестирование выявило недостаточную оптимизацию: процесс поиска товаров занимал длительное время, агент допускал ошибки при интерпретации итоговой стоимости заказа и испытывал сложности в анализе отзывов покупателей.
Вторая версия модуля была сфокусирована на строгом контроле транзакций. Агент опирался на жестко структурированный файл состояния корзины. Была внедрена трехуровневая защита, включающая валидацию платежного шлюза по списку доверенных банков, контроль суммы с мгновенной блокировкой транзакции при выявлении несоответствий, а также глубокий поиск платежных данных через алгоритмы распознавания текста и QR-кодов на скриншотах экрана. Агенту было категорически запрещено взаимодействовать с полями ввода номеров карт и защитных кодов. Несмотря на высокий уровень безопасности, излишне жесткие правила привели к снижению гибкости: при малейших изменениях визуального оформления сайтов магазинов выполнение задачи прерывалось.
Финальной и оптимальной реализацией стал комплексный управляющий модуль. В данной версии применена концепция баланса между безопасностью и удобством. Архитектура программного решения была разделена на этапы планирования, ведения журнала заказа, взаимодействия с браузером через программные интерфейсы и проведения аудита корзины.
Агент работает непосредственно в авторизованной сессии пользователя, что обеспечивает мгновенную синхронизацию выбранных товаров с мобильными приложениями электронных магазинов. Для защиты от перерасхода вычислительных ресурсов агент запрашивает у системы только релевантную выжимку из нескольких наиболее полезных отзывов. В итоговом текстовом отчете фиксируются лишь ключевые достоинства и недостатки товара, что позволяет пользователю быстро принять обоснованное решение.
Особое внимание в новой версии уделено безопасности формирования заказа. Реализована адаптивная система цен, учитывающая скидки по картам лояльности торговых площадок. В процессе работы агент проводит интерактивный аудит: алгоритм сверяет текущее состояние корзины на сайте со своим внутренним журналом и автоматически исключает из заказа товары, добавленные пользователем ранее и не относящиеся к текущему запросу.
В части авторизации внедрен принцип строгой изоляции действий: при обнаружении требования ручного ввода проверочных кодов, логина или пароля агент приостанавливает работу и передает управление пользователю. Только после получения явного подтверждения алгоритм переходит к этапу оплаты. Агент открывает страницу шлюза, игнорирует поля ввода реквизитов карты, извлекает защищенную платежную ссылку и направляет пользователю финальный отчет с итоговой суммой для оплаты через банковское приложение. Данный подход практически полностью исключает вероятность утечки финансовых данных в случае компрометации языковой модели.
Обобщая результаты проделанной работы, можно заключить, что в период прохождения ознакомительной практики было проведено успешное исследование механизмов безопасности автономных агентов. Смоделированные атаки продемонстрировали критическую необходимость внедрения многоуровневых систем защиты при предоставлении большим языковым моделям доступа к системным ресурсам. На основе выявленных уязвимостей были предложены программные фильтры и разработан сложный отказоустойчивый модуль для безопасного осуществления электронных покупок. Созданный комплекс обеспечивает баланс между автономностью искусственного интеллекта и контролем человека над финансовыми операциями, решая одну из главных проблем внедрения подобных технологий в повседневные бизнес-процессы. Практика позволила значительно углубить знания в сфере кибербезопасности нейросетей, а также развить навыки системного проектирования и программирования.