В Git in Sky последние полтора года мы занимаемся безопасностью AI-контуров: аудируем интеграции, разбираем архитектуру доступов и помогаем командам контролировать взаимодействие между данными и языковыми моделями.

За 2025–2026 годы произошло достаточно публичных инцидентов с ИИ, чтобы написать серьёзный обзор. И призвать всех, кто работает с AI-решениями, всерьёз задуматься о безопасности.

Масштаб: что говорит статистика

Согласно IBM Cost of Data Breach Report 2025, 13% всех корпоративных утечек в прошлом году произошли через AI-системы или интеграции. Средняя стоимость одного инцидента — $4,88 млн.

OWASP в обновлённом рейтинге угроз для LLM-приложений поставил prompt injection на первое место — LLM01:2025. По оценкам Lakera, 73% задеплоенных AI-агентов в 2025 году уязвимы к тем или иным видам инъекций.

Громкие инциденты

DeepSeek: открытая база с миллионом чатов

Январь 2025 года. Wiz Research обнаружили, что у DeepSeek открытый ClickHouse-инстанс без аутентификации был доступен по адресам oauth2callback.deepseek.com:9000 и dev.deepseek.com:9000. Через веб-интерфейс можно было выполнять произвольные SQL-запросы.

CTO DeepSeek признал: «Это было настолько просто найти, что мы уверены — мы не единственные, кто это сделал».

В базе находились более 1 млн строк логов с чатами пользователей, API-ключи и детали бэкенда. Wiz уведомили компанию, доступ закрыли за 30 минут. Но данные уже попали в даркнет — дамп был опубликован на форумах под названием DeepBreach.

Это особенно важно, потому что в тот период DeepSeek активно внедряли в корпоративные среды. Компании настраивали интеграции с production-системами, не зная, что их чаты читает кто угодно с браузером.

LiteLLM → Mercor: атака через цепочку поставок

19 марта 2026 года злоумышленники переписали git-теги в репозитории trivy-action, подменив релиз v0.69.4 на вредоносный. 24 марта CI/CD LiteLLM запустил сборку, забрал Trivy без закреплённой версии и выпустил токен PYPI_PUBLISH.

Через 40 минут на PyPI появились версии litellm 1.82.7 и 1.82.8 с встроенным стилером. Вредоносный файл litellm_init.pth (34 628 байт) запускался при каждом старте Python.

За 40 минут до блокировки пакет скачали 119 000 раз. Стилер собирал SSH-ключи, токены GCP, AWS, Azure, конфиги Kubernetes, API-ключи из .env и пароли от баз данных.

Mercor — платформа с оценкой $10 млрд, поставлявшая тренировочные данные для крупных AI-компаний — использовала LiteLLM в production. В результате утекло 4 ТБ данных: 939 ГБ исходного кода, 211 ГБ пользовательской базы и 3 ТБ видеозаписей интервью и документов верификации.

Хакеры выставили дамп на продажу. Meta приостановила сотрудничество с Mercor. OpenAI и Anthropic начали расследования. Подан коллективный иск от 40 000 человек. Утекли не только персональные данные, но и методологии разметки и обучения моделей.

Vercel: AI-агент как вектор атаки через OAuth

Апрель 2026 года. Vercel — IT-инфраструктурная компания с оценкой под $10 млрд — стала жертвой атаки, не связанной с уязвимостями ПО, фишингом или вирусами.

Сотрудник подключил AI-ассистента к корпоративному Google Workspace через стандартный OAuth-флоу. Агент запросил доступ к почте, Drive и календарю. Сотрудник нажал «Разрешить» и забыл об этом.

Через этот токен злоумышленники получили доступ к переписке с production-ключами, конфигам из Drive и фрагментам исходников из прикреплённых файлов.

На BreachForums дамп выставили на продажу за $2 млн. Официальный отчёт опубликован на vercel.com/kb/bulletin/vercel-april-2026-security-incident.

Главный урок: периметр безопасности Vercel не учитывал AI-агентов. Модель, подключённая неделю назад, читает корпоративную почту с теми же правами, что и сотрудник, и «не увольняется» никогда.

Аудит AI-интеграций нужно вести так же, как и доступы сотрудников: инвентаризация, пересмотр раз в квартал, отзыв токенов по умолчанию.

Средняя компания сегодня подключает десяток AI-инструментов через OAuth к корпоративным сервисам. MCP-серверы хранят живые токены к GitHub, Slack, Google Drive. Один скомпрометированный AI-вендор — и у атакующего доступ к Google Workspace любого клиента.

GitHub Copilot: RCE и кража данных через prompt injection

Август 2025 года.

CVE-2025-53773 — удалённое выполнение кода

Критическая уязвимость в GitHub Copilot и Visual Studio Code. Через prompt injection атакующий получал Remote Code Execution на машине разработчика.

Эксплуатация происходила через файл .vscode/settings.json. Экспериментальная функция отключала подтверждения для операций Copilot, позволяя ИИ выполнять shell-команды без контроля. Патч вышел в Patch Tuesday августа 2025 года.

CVE-2025-59145 (CamoLeak) — кража секретов без выполнения кода

CVSS 9.6. Атака CamoLeak: злоумышленник отправлял pull request с невидимыми markdown-комментариями, содержащими вредоносные инструкции. Copilot обрабатывал их и через механизм рендеринга изображений сливала API-ключи и исходный код из приватных репозиториев.

GitHub тихо закрыл уязвимость, отключив рендеринг изображений в Copilot Chat. Публичного disclosure не было. Исследователь раскрыл детали спустя два месяца после патча.

Взлом AI-агентов Anthropic, Google и Microsoft через GitHub

Октябрь 2025 года. Исследователь Aonan Guan последовательно взломал AI-агентов трёх компаний через интеграции с GitHub Actions. Механизм — prompt injection, реализация — разная.

• Anthropic (Claude Code Security Review): payload в заголовке PR выполнил embedded-команды. Агент слил API-ключ Anthropic, токен доступа к GitHub и другие секреты в JSON-ответе. Вознаграждение: $100.
• Google (Gemini): в issue добавлена фейковая «trusted content section». Gemini переопределил safety-инструкции и опубликовал собственный API-ключ как комментарий. Вознаграждение: не раскрыто.
• Microsoft (Copilot Agent): вредоносные инструкции скрыты в HTML-комментариях. Человек их не видит, ИИ — видит. Бот выполнил команды после назначения issue. Вознаграждение: $500.

Ни одна из компаний не выпустила публичный advisory и не присвоила CVE. Пользователи на старых версиях инструментов остались уязвимы.

Microsoft 365 Copilot: EchoLeak и Reprompt

EchoLeak (CVE-2025-32711, CVSS 9.3)

Атакующий вставляет вредоносный payload в тело письма или документа. Microsoft 365 Copilot при суммаризации обрабатывает его, извлекает приватные данные и возвращает атакующему. Клик пользователя не требуется — достаточно получить письмо.

Microsoft устранил уязвимость на сервере. По их данным, пострадавших клиентов не было.

Reprompt (CVE-2026-26133)

Исследователи Varonis обнаружили, что одного клика по легитимной Microsoft-ссылке достаточно, чтобы злоумышленник захватил сессию Copilot и сохранил доступ даже после закрытия чата.

Атака позволяет читать почту, переписку в Teams, документы SharePoint — всё, к чему есть доступ у пользователя.

Массовые jailbreak-атаки

Sockpuppeting — один вызов API, 11 моделей

Техника, сломавшая ChatGPT, Claude, Gemini и 8 других моделей одной строкой кода. Атака использует стандартную функцию API: в поток ответа модели инжектируется фейковая фраза вроде «Sure, here is how to do it:». Модель воспринимает это как продолжение своего ответа и продолжает генерацию без ограничений.

Policy Puppetry — обход через ролевое моделирование

Prompt-инъекция, сочетающая «политику» и ролевое моделирование с leetspeak (замена букв символами). Обошла guardrails в Gemini 2.5, Claude 3.7 и GPT-4o. Затрагивала темы CBRN, массового насилия и самоповреждений.

Cisco: DeepSeek — 100% success rate при jailbreak

Исследование Cisco показало, что DeepSeek R1 не отклонил ни один из 50 тестовых harmful-промптов. Успешность джейлбрейка — 100%.

В сравнении: ChatGPT 4.5 блокировал 97% попыток, Claude 3.7 Sonnet — 100%.

Контекст: в начале 2025 года DeepSeek активно интегрировали в корпоративные продукты как «дешёвую альтернативу GPT-4». Некоторые компании направляли через него чувствительные запросы.

Фреймворк: как систематизировать атаки на AI-агентов

В 2025 году Google DeepMind опубликовал исследование «AI Agent Traps» — систематизацию векторов атак на автономных ИИ-агентов. Документ описывает 6 категорий манипуляций, эксплуатирующих природу LLM, а не уязвимости кода.

1. Content Injection (инъекция контента)

Вредоносные инструкции прячутся в данных, которые агент обрабатывает: письма, документы, веб-страницы. Агент не различает легитимный контент и команды — всё воспринимается как текст. Это основа всех prompt injection-атак.

2. Semantic Manipulation (семантическая манипуляция)

Атакующий имитирует формат системных инструкций: «SYSTEM:», «[TRUST]», «Developer mode». Модель обучена им подчиняться. Так работают sockpuppeting и policy puppetry.

3. Cognitive State Attacks (атаки на состояние)

Многоходовые атаки, где модель постепенно «соглашается» с установками злоумышленника. Multi-turn jailbreaks в 2025 году показывали успешность выше 70% против моделей, защищённых только от single-turn атак.

4. Behavioural Control (контроль поведения)

Инструкции вроде «Когда встретишь X, всегда делай Y» создают персистентные правила в поведении агента. Это формирует бэкдор без изменения весов модели.

5. Systemic Attacks (системные атаки)

Эксплуатация архитектуры: отравление RAG-базы знаний, атаки на tool use. Если агент имеет доступ к GitHub, почте или базам — атакующий через инъекцию получает те же права.

6. Human-in-the-Loop Bypasses

Атаки на подтверждения пользователя. Агент формулирует запрос так, что пользователь машинально нажимает «Да», или использует side channels, чтобы обойти подтверждение. CVE-2025-53773 в Copilot был именно таким: экспериментальная функция отключала все confirmations.

Аааа, что же делать, мы все умрём?

Да, но позже.

Хорошая новость: большинство проблем решается дисциплиной. Аудит AI-интеграций наравне с доступами сотрудников, закреплённые версии зависимостей, явная модель доверия к контенту на уровне архитектуры.

Инструменты уже есть — просто их редко применяют к новому классу сущностей.

Кажется, профессия DevOps переживает второе рождение. Всё, что DevSecOps-инженеры умеют делать с инфраструктурой — верификация артефактов, управление секретами, политики доступа, мониторинг аномалий — напрямую переносится на AI-контур.

Это интересная ситуация, когда старая экспертиза вновь становится дефицитной.

В Git in Sky мы последние полтора года плотно занимаемся безопасностью AI-контуров: аудируем интеграции, разбираем архитектуру доступов, помогаем командам выстроить нормальный контроль над тем, что происходит между их данными и языковыми моделями.

За 2025-2026 годы произошло достаточно публичных инцидентов с AI, чтобы написать большую статью. И призвать всех, кто работает с AI-решениями, обращать внимание на безопасность.

Масштаб: что говорит статистика

По даннымIBM Cost of Data Breach Report 2025, 13% всех корпоративных утечек в прошлом году прошли через AI-системы или AI-интеграции. Средняя стоимость одного такого инцидента $4.88 млн. OWASP в своём обновлённомтопе угроздля LLM-приложений поставил prompt injection на первое место LLM01:2025. По оценкамLakera, 73% задеплоенных AI-агентов в 2025 году уязвимы к тому или иному виду инъекций.

Громкие инциденты

DeepSeek: открытая база с миллионом чатов

Январь 2025

Wiz Research обнаружили, что у DeepSeek открыт ClickHouse-инстанс без аутентификации по адресам oauth2callback.deepseek.com:9000 и dev.deepseek.com:9000. Через веб-интерфейс можно было выполнять произвольные SQL-запросы. CTO DeepSeek сам признал: "это было настолько просто найти, что мы уверены – мы не единственные, кто это сделал".

Что лежало в базе: более 1 млн строк логов с историей чатов пользователей, API-ключи, детали бэкенда. Wiz уведомили компанию, база была закрыта за 30 минут после уведомления. Но к тому моменту данные уже расходились по даркнету DeepBreach слили дамп на форумах.

Почему это важно:DeepSeek пускали в корпоративную среду тысячи компаний именно в этот период у него был взрывной рост. Компании настраивали интеграции с production-системами, пока их чаты читал кто угодно с браузером.

LiteLLM → Mercor: supply chain через AI-библиотеку

19 марта 2026 года атакующие переписали git-теги в репозитории trivy-action, подменив релиз v0.69.4 на вредоносный. 24 марта, в 10:39 UTC, CI/CD LiteLLM запустил сборку, вытащил Trivy без закреплённой версии, и malware-экшен слил PYPI_PUBLISH токен. Через 40 минут на PyPI появились версии litellm 1.82.7 и 1.82.8 с встроенным стилером.

Вредоносный .pth-файл (litellm_init.pth, 34628 байт) запускался автоматически при каждом старте Python. За 40 минут до блокировки PyPI пакет скачали 119 000 раз. Стилер собирал: SSH-ключи, GCP ADC, AWS access keys, Azure-токены, Kubernetes configs, API-ключи из .env файлов, пароли от баз данных.

Mercor – платформа с оценкой $10 млрд, поставляет тренировочные данные для крупных AI-компаний использовала LiteLLM в production. В результате атаки утекло 4 TB данных: 939 GB исходного кода платформы, 211 GB базы пользователей, 3 TB видеозаписей интервью и документов верификации личности. Хакеры выставили дамп на продажу.

Последствия:Meta приостановила сотрудничество с Mercor. OpenAI и Anthropic начали внутренние расследования – Mercor работал с тренировочными данными обоих. Подан коллективный иск от 40 000 человек. Утекли не просто персональные данные, но и методологии разметки и тренировки моделей.

Vercel: AI-агент как вектор атаки через OAuth

Апрель 2026

Vercel – IT-инфраструктурная компания с оценкой под $10 млрд. Вектор атаки оказался неожиданным: не уязвимость в ПО, не фишинг, не вирус. Сотрудник подключил AI-ассистента к своему рабочему Google Workspace через стандартный OAuth-флоу.

Механика: AI-агент запросил стандартный набор прав: чтение почты, доступ к Drive, календарь. Сотрудник нажал «Разрешить», как нажимают обычно, и забыл. Через этот OAuth-токен атакующие вытащили переписку с production-ключами, конфиги из Google Drive и куски исходников из прикреплённых файлов.

На BreachForums хакеры выставили дамп исходников и переменных окружения Vercel на продажу за $2 млн. Официальный отчёт об инциденте опубликован наvercel.com/kb/bulletin/vercel-april-2026-security-incident.

Главный урок:Периметр безопасности Vercel строился вокруг людей, репозиториев и инфраструктуры. AI-агентов в модели угроз не было. Модель, которую сотрудник подключил на прошлой неделе, читает корпоративную почту с теми же правами, что и он сам и не увольняется никогда. Аудит AI-интеграций нужно вести как аудит доступа сотрудников: инвентаризация, пересмотр раз в квартал, отзыв токенов по умолчанию.

Средняя компания сегодня подключила десяток AI-тулов через OAuth к корпоративным сервисам. MCP-серверы держат живые токены к GitHub, Slack, Google Drive. Один скомпрометированный AI-вендор – и у атакующего Google Workspace любой из ваших клиентов.

GitHub Copilot: RCE и кража данных через prompt injection

Август 2025

CVE-2025-53773 – удалённое выполнение кода

Критическая уязвимость в GitHub Copilot и Visual Studio Code: через prompt injection атакующий получал Remote Code Execution на машине разработчика. Эксплуатация работала через файл .vscode/settings.json – экспериментальная фича отключала все подтверждения для операций Copilot, позволяя AI выполнять shell-команды без oversight. Патч вышел в Patch Tuesday августа 2025.

CVE-2025-59145 (CamoLeak) – кража секретов без выполнения кода

CVSS 9.6. Атака CamoLeak: злоумышленник подаёт pull request с невидимыми markdown-комментариями, содержащими вредоносные инструкции. Copilot обрабатывает их и через механизм рендеринга изображений сливает API-ключи и исходный код из приватных репозиториев. GitHub тихо закрыл уязвимость, отключив рендеринг изображений в Copilot Chat. Публичного disclosure не было, исследователь раскрыл детали через 2 месяца после патча.

Взлом AI-агентов Anthropic, Google и Microsoft через GitHub

Октябрь 2025

Исследователь Aonan Guan последовательно взломал AI-агентов всех трёх компаний через их GitHub Actions интеграции. Схема – prompt injection, механизм в каждом случае разный:

• Anthropic (Claude Code Security Review): заголовок PR с payload-ом, выполнившим embedded-команды. Агент слил Anthropic API key, GitHub access token и другие секреты в JSON-ответе. Bounty: $100.
• Google (Gemini): в GitHub issue добавлена фейковая "trusted content section" после легитимного контента. Gemini переопределил safety-инструкции и опубликовал собственный API-ключ как комментарий к issue. Bounty: не раскрыто.
• Microsoft (Copilot Agent): вредоносные инструкции спрятаны в HTML-комментарии внутри GitHub issue — в отрендеренном markdown человек их не видит, AI видит. Разработчик назначил issue на Copilot Agent, бот выполнил hidden-инструкции. Bounty: $500.

Ни одна из компаний не выпустила публичный advisory и не присвоила CVE. Пользователи на старых версиях инструментов остались уязвимы.

Microsoft 365 Copilot: EchoLeak и Reprompt

EchoLeak (CVE-2025-32711, CVSS 9.3)

Атакующий вставляет вредоносный prompt-payload в тело письма или документа. Microsoft 365 Copilot при суммаризации обрабатывает payload, извлекает приватные данные из почтового ящика и возвращает их атакующему. Клик пользователя не нужен – достаточно получить письмо. Microsoft закрыл уязвимость на стороне сервера, пострадавших клиентов, по их заявлению, не было.

Reprompt (CVE-2026-26133)

Исследователи Varonis обнаружили: одного клика на легитимную Microsoft-ссылку достаточно, чтобы злоумышленник захватил сессию Copilot и сохранял доступ даже после закрытия чата. Атака позволяет читать почту, Teams-переписку, документы SharePoint – всё, к чему у пользователя есть доступ.

Массовые jailbreak-атаки

Sockpuppeting — один вызов API, 11 моделей

Техника, сломавшая ChatGPT, Claude, Gemini и 8 других моделей одной строкой кода. Атака использует стандартную функцию API: в поток ответа модели перед её ответом инжектируется фейковая согласительная фраза ("Sure, here is how to do it:"). Модель воспринимает это как продолжение своего собственного ответа и продолжает без ограничений.

Policy Puppetry — обход через ролевое моделирование

Prompt-инъекция комбинирует "политику" и ролевое моделирование с leetspeak (замена букв символами). Обошла guardrails в Gemini 2.5, Claude 3.7 и GPT-4o. Затрагивала тематику CBRN, массового насилия и самоповреждений.

Cisco: DeepSeek — 100% success rate при jailbreak

Исследование Cisco показало: DeepSeek R1 не отклонил ни один из 50 тестовых harmful-промптов. 100% success rate джейлбрейка. В сравнении: ChatGPT 4.5 блокировал 97% попыток, Claude 3.7 Sonnet – 100%.

Контекст: именно DeepSeek в начале 2025 года активно интегрировали в корпоративные продукты как "дешёвую альтернативу GPT-4". Некоторые компании направляли через него чувствительные запросы.

Фреймворк: как систематизировать атаки на AI-агентов

В 2025 году Google DeepMind опубликовал исследование "AI Agent Traps" – систематизацию векторов атак на автономных AI-агентов. Документ описывает 6 категорий манипуляций, которые работают не через уязвимости кода, а через природу самих LLM.

1. Content Injection (инъекция контента)

Вредоносные инструкции прячутся в данных, которые агент обрабатывает: веб-страницы, письма, документы, PDF. Агент не может отличить легитимный контент от инструкции атакующего, он обрабатывает всё как текст. Это базовый механизм всех prompt injection атак в реальных кейсах выше.

2. Semantic Manipulation (семантическая манипуляция)

Переформулировка вредоносного запроса через авторитетные контексты: "SYSTEM:", "[TRUST]", "Developer mode". Модель обучена следовать системным инструкциям атакующий имитирует их формат. Именно так работает sockpuppeting и policy puppetry.

3. Cognitive State Attacks (атаки на состояние)

Манипуляции через несколько ходов диалога. Модель постепенно "соглашается" с установками атакующего, после чего выполняет запросы, которые в лоб отклонила бы. Multi-turn jailbreaks в 2025 году давали success rate выше 70% против моделей, защищённых только от single-turn атак.

4. Behavioural Control (контроль поведения)

Инструкции, изменяющие долгосрочное поведение агента: "Когда встретишь X, всегда делай Y". Агент запоминает правило и применяет его в будущих сессиях, создавая персистентный backdoor без изменения весов модели.

5. Systemic Attacks (системные атаки)

Эксплуатация архитектуры: RAG poisoning (отравление базы знаний агента), атаки на tool use (агент вызывает внешние API). Если агент имеет доступ к GitHub, почте, базам данных – атакующий через content injection получает эти же доступы.

6. Human-in-the-Loop Bypasses

Атаки на подтверждения пользователя. Агент формулирует запрос на подтверждение так, чтобы пользователь машинально нажал "Да" – или использует side channels, чтобы вообще не требовать подтверждения. CVE-2025-53773 в Copilot был именно об этом: экспериментальная фича отключала все confirmations.

Аааа, что же делать, мы все умрем

Да, но позже)

Хорошая новость в том, что большинство этих проблем решается дисциплиной: аудит AI-интеграций наравне с аудитом сотрудников, закреплённые версии зависимостей, явная модель доверия к контенту на уровне архитектуры. Инструменты есть – просто их пока редко применяют к новому классу сущностей.

И здесь мне кажется, что профессия DevOps переживает второе рождение. Всё, что DevSecOps-инженеры умеют делать с классической инфраструктурой – пайплайны верификации артефактов, управление секретами, политики доступа, мониторинг аномалий – напрямую переносится на AI-контур.

Это интересная ситуация, когда старая экспертиза становится дефицитной заново.