Исследователи из компании Guardio Labs обнаружили новую киберугрозу под названием PromptFix. Эта техника представляет собой инъекцию вредоносных инструкций, скрытых внутри поддельной проверки CAPTCHA на веб-странице. Вместо использования технических уязвимостей, PromptFix применяет методы социальной инженерии непосредственно к искусственному интеллекту, обманывая его и заставляя выполнять команды без ведома пользователя. Специалисты Guardio Labs назвали этот метод «атакой в стиле ClickFix эпохи ИИ», подчеркивая, что он эксплуатирует основную цель ИИ — помогать человеку быстро и эффективно.
Скрытые в коде веб-страницы инструкции невидимы для человека, но считываются браузером на базе ИИ. Эксплойт убеждает ИИ-агента нажать на невидимые кнопки, что может привести к атаке типа drive-by download, при которой вредоносное ПО загружается на компьютер пользователя без его прямого участия. Наибольшей опасности подвергаются полноценные ИИ-агенты, такие как браузер Comet от Perplexity. Агентский режим ChatGPT также уязвим, однако загруженные файлы попадают в изолированную виртуальную среду («песочницу»), а не напрямую на устройство пользователя.
Появление таких угроз знаменует наступление новой эры сложных мошеннических схем, которую эксперты назвали "Scamlexity" — производное от английских слов "scam" (мошенничество) и "complexity" (сложность). В рамках этой концепции удобство агентного ИИ, способного автономно выполнять задачи, создает невидимую поверхность для атак. Пользователи становятся побочным ущербом, когда их ИИ-помощники, созданные для помощи, начинают взаимодействовать с мошенническими системами от их имени.
В ходе тестов исследователи продемонстрировали, как ИИ-браузер Comet может совершить мошенническую покупку. Пользователь, перейдя на поддельную веб-страницу, давал команду: «Купи мне Apple Watch». ИИ-агент, взаимодействуя с сайтом-двойником, имитирующим известный магазин вроде Walmart, автоматически добавлял товар в корзину, заполнял сохраненный адрес доставки и вводил данные кредитной карты. В результате мошенническая транзакция инициировалась без окончательного подтверждения со стороны человека.
Другой сценарий демонстрировал фишинговую атаку через электронную почту. Пользователь просил ИИ-браузер Comet проверить почту на наличие важных сообщений. ИИ анализировал спам-письмо, замаскированное под уведомление от банка, самостоятельно переходил по встроенной фишинговой ссылке, попадал на поддельную страницу входа и вводил сохраненные учетные данные. В Guardio Labs назвали это «идеальной цепочкой доверия, ставшей мошеннической», поскольку пользователь не видел ни подозрительного отправителя, ни фишинговой ссылки, ни поддельного домена.
Злоумышленники используют и другие ИИ-инструменты. По данным компании Proofpoint, сервисы помощника для создания сайтов Lovable активно применяются для распространения фишинговых наборов для многофакторной аутентификации, таких как Tycoon. С их помощью также создаются вредоносные программы для кражи криптовалют, загрузчики вредоносного ПО и трояны удаленного доступа, например, zgRAT.
Типичная схема атаки с использованием Lovable выглядит следующим образом: создается поддельный сайт, который предлагает пользователю пройти проверку CAPTCHA. После ее решения пользователь перенаправляется на фишинговую страницу для кражи учетных данных, стилизованную под бренд Microsoft. Также зафиксированы случаи создания поддельных сайтов, имитирующих сервисы доставки, такие как UPS. В ответ на это компания Lovable сообщила об удалении вредоносных сайтов и внедрении защитных мер на основе ИИ.
Угрозы распространяются и через социальные медиа. На платформах, включая YouTube, распространяется дипфейк-контент, направляющий пользователей на мошеннические инвестиционные сайты под видом «ИИ-трейдинга». Для создания видимости легитимности мошенники создают поддельные блоги и обзорные сайты на платформах Medium, Blogger и Pinterest.
Специалисты из Palo Alto Networks Unit 42 подтверждают, что злоумышленники активно используют генеративный ИИ для создания реалистичного фишингового контента, клонирования сайтов известных брендов и автоматизации развертывания вредоносных ресурсов в больших масштабах. Дополнительный риск заключается в том, что ИИ-помощники по написанию кода могут случайно раскрывать проприетарный код или конфиденциальную интеллектуальную собственность, создавая новые векторы атак.
В отчете «Threat Hunting Report for 2025» компании CrowdStrike делается вывод, что «генеративный ИИ скорее расширяет возможности злоумышленников, чем заменяет существующие методы атак». Эксперты прогнозируют, что киберпреступники всех уровней квалификации «почти наверняка» будут все активнее использовать генеративный ИИ для социальной инженерии по мере роста доступности и совершенствования этих инструментов.
Для противодействия новым угрозам необходимы не реактивные, а проактивные защитные механизмы. Системы искусственного интеллекта должны быть оснащены надежными барьерами, включающими передовые технологии обнаружения фишинга, проверку репутации URL-адресов, выявление подделки доменов, а также сканирование и предотвращение загрузки вредоносных файлов.
Изображение носит иллюстративный характер
Скрытые в коде веб-страницы инструкции невидимы для человека, но считываются браузером на базе ИИ. Эксплойт убеждает ИИ-агента нажать на невидимые кнопки, что может привести к атаке типа drive-by download, при которой вредоносное ПО загружается на компьютер пользователя без его прямого участия. Наибольшей опасности подвергаются полноценные ИИ-агенты, такие как браузер Comet от Perplexity. Агентский режим ChatGPT также уязвим, однако загруженные файлы попадают в изолированную виртуальную среду («песочницу»), а не напрямую на устройство пользователя.
Появление таких угроз знаменует наступление новой эры сложных мошеннических схем, которую эксперты назвали "Scamlexity" — производное от английских слов "scam" (мошенничество) и "complexity" (сложность). В рамках этой концепции удобство агентного ИИ, способного автономно выполнять задачи, создает невидимую поверхность для атак. Пользователи становятся побочным ущербом, когда их ИИ-помощники, созданные для помощи, начинают взаимодействовать с мошенническими системами от их имени.
В ходе тестов исследователи продемонстрировали, как ИИ-браузер Comet может совершить мошенническую покупку. Пользователь, перейдя на поддельную веб-страницу, давал команду: «Купи мне Apple Watch». ИИ-агент, взаимодействуя с сайтом-двойником, имитирующим известный магазин вроде Walmart, автоматически добавлял товар в корзину, заполнял сохраненный адрес доставки и вводил данные кредитной карты. В результате мошенническая транзакция инициировалась без окончательного подтверждения со стороны человека.
Другой сценарий демонстрировал фишинговую атаку через электронную почту. Пользователь просил ИИ-браузер Comet проверить почту на наличие важных сообщений. ИИ анализировал спам-письмо, замаскированное под уведомление от банка, самостоятельно переходил по встроенной фишинговой ссылке, попадал на поддельную страницу входа и вводил сохраненные учетные данные. В Guardio Labs назвали это «идеальной цепочкой доверия, ставшей мошеннической», поскольку пользователь не видел ни подозрительного отправителя, ни фишинговой ссылки, ни поддельного домена.
Злоумышленники используют и другие ИИ-инструменты. По данным компании Proofpoint, сервисы помощника для создания сайтов Lovable активно применяются для распространения фишинговых наборов для многофакторной аутентификации, таких как Tycoon. С их помощью также создаются вредоносные программы для кражи криптовалют, загрузчики вредоносного ПО и трояны удаленного доступа, например, zgRAT.
Типичная схема атаки с использованием Lovable выглядит следующим образом: создается поддельный сайт, который предлагает пользователю пройти проверку CAPTCHA. После ее решения пользователь перенаправляется на фишинговую страницу для кражи учетных данных, стилизованную под бренд Microsoft. Также зафиксированы случаи создания поддельных сайтов, имитирующих сервисы доставки, такие как UPS. В ответ на это компания Lovable сообщила об удалении вредоносных сайтов и внедрении защитных мер на основе ИИ.
Угрозы распространяются и через социальные медиа. На платформах, включая YouTube, распространяется дипфейк-контент, направляющий пользователей на мошеннические инвестиционные сайты под видом «ИИ-трейдинга». Для создания видимости легитимности мошенники создают поддельные блоги и обзорные сайты на платформах Medium, Blogger и Pinterest.
Специалисты из Palo Alto Networks Unit 42 подтверждают, что злоумышленники активно используют генеративный ИИ для создания реалистичного фишингового контента, клонирования сайтов известных брендов и автоматизации развертывания вредоносных ресурсов в больших масштабах. Дополнительный риск заключается в том, что ИИ-помощники по написанию кода могут случайно раскрывать проприетарный код или конфиденциальную интеллектуальную собственность, создавая новые векторы атак.
В отчете «Threat Hunting Report for 2025» компании CrowdStrike делается вывод, что «генеративный ИИ скорее расширяет возможности злоумышленников, чем заменяет существующие методы атак». Эксперты прогнозируют, что киберпреступники всех уровней квалификации «почти наверняка» будут все активнее использовать генеративный ИИ для социальной инженерии по мере роста доступности и совершенствования этих инструментов.
Для противодействия новым угрозам необходимы не реактивные, а проактивные защитные механизмы. Системы искусственного интеллекта должны быть оснащены надежными барьерами, включающими передовые технологии обнаружения фишинга, проверку репутации URL-адресов, выявление подделки доменов, а также сканирование и предотвращение загрузки вредоносных файлов.
