Исследователи кибербезопасности CloudSEK обнаружили новую модификацию социальной инженерии ClickFix, в которой злоумышленники используют инструменты искусственного интеллекта для скрытой доставки инструкций по развертыванию ransomware. Атака основана на технике невидимого внедрения промптов и стратегии «передозировки запросами», что позволяет обмануть системы автоматического суммирования текста.
Согласно отчету экспертов, злоумышленники размещают вредоносные инструкции в скрытых HTML-элементах с помощью CSS-трюков - нулевой ширины символов, белого текста на белом фоне, минимального размера шрифта и смещения за пределы экрана. Эти элементы остаются невидимыми для пользователя, но полностью считываются большими языковыми моделями (LLM), которые используются в почтовых клиентах, браузерных расширениях и платформах для совместной работы.
Многократное повторение скрытых промптов в невидимых контейнерах переполняет контекстное окно модели и заставляет её генерировать итоговый текст в соответствии с инструкциями злоумышленника, а не на основе легитимного контента. Когда пользователь запускает функцию автоматического суммирования отравленного контента - будь то предпросмотр письма, пост на форуме или корпоративный документ - инструмент выдаёт пошаговые команды для развёртывания ransomware.
В демонстрационных примерах исследователям удалось направить ИИ-суммаризаторы на вывод Base64-кодированных команд PowerShell через диалоговое окно «Выполнить» в Windows. Даже при наличии безвредного контента скрытые инструкции полностью доминировали в итоговой сводке благодаря своей массовости и точной формулировке.
Новая версия ClickFix превращает ИИ-ассистентов из пассивных помощников в активные каналы распространения вредоносных программ. Это повышает эффективность ransomware-кампаний, поскольку инструкции воспринимаются жертвами как авторитетные рекомендации от доверенного ИИ. В отличие от традиционного фишинга, пользователям не требуется переходить по подозрительным ссылкам - команды появляются непосредственно в интерфейсе суммирования.
Последствия такой тактики могут быть крайне серьёзными. Почтовые клиенты, сниппеты поисковых систем и браузерные расширения, используемые миллионами людей, способны стать массовыми векторами распространения скрытых нагрузок. SEO-оптимизированные записи в блогах и сообщения на форумах могут служить устойчивыми источниками вредоносного контента, который индексируется агрегаторами и появляется на различных платформах.
Корпорации, внедряющие внутренние ИИ-копилоты и системы анализа документов, также рискуют столкнуться с тем, что автоматические сводки станут неепреднамеренными проводниками атакующих инструкций.
Для противодействия этой угрозе специалистам по безопасности и разработчикам ИИ необходимо внедрять комплексные меры обнаружения и санитизации. Клиентские фильтры должны удалять или нормализовать CSS-атрибуты, связанные с невидимостью - такие как opacity: 0, font-size: 0 или символы нулевой ширины. Слои нейтрализации промптов могут выявлять мета-инструкции и чрезмерное повторение, характерное для атак с передозировкой запросов.
Двигатели распознавания образцов должны декодировать и анализировать замаскированные командные строки на предмет известных сценариев развёртывания программ-вымогателей. Балансировка на уровне токенов в процессе суммирования может снижать вес повторяющегося контента, сохраняя целостность видимого материала.
Также полезными могут оказаться меры в области пользовательского опыта - например, индикаторы происхождения контента, которые различают видимый и скрытый текст и предупреждают получателей о возможных манипуляциях. Корпоративные политики использования ИИ, интегрированные в защищённые почтовые шлюзы и системы управления контентом, способны блокировать или помещать в карантин подозрительные документы до их обработки суммаризаторами.
По мере того как злоумышленники совершенствуют техники невидимого внедрения промптов и передозировки запросами, защитникам необходимо оперативно адаптироваться. Публичное раскрытие этих методов может ускорить гонку вооружений между киберпреступниками и вендорами средств безопасности.
Дальнейшие исследования должны быть сосредоточены на межплатформенных оценках уязвимостей, защитном инжиниринге промптов и разработке бенчмарков для adversarial тестирования суммаризации, чтобы повысить устойчивость ИИ-ориентированных рабочих процессов.
