Идея создания полностью автономных торговых ИИ-агентов столкнулась с серьезным техническим препятствием. OpenAI, Anthropic и Google пытаются справиться с фундаментальной уязвимостью в своих больших языковых моделях (LLM), известной как промпт-инъекция (prompt injection). Хакер может перехватить управление такими системами, как ChatGPT, Claude или Gemini, используя всего лишь одну тщательно продуманную фразу. Хуже того, в OpenAI признали, что эту проблему, возможно, никогда не удастся решить окончательно.
Для крипты, где AI все активнее интегрируют в торговых ботов, аудит смарт-контрактов и управление портфелями, это представляет собой системный риск. Эксплойт работает за счет того, что обманом заставляет LLM игнорировать исходные системные инструкции и выполнять команды, внедренные во внешние данные. Если автоматический торговый бот собирает метаданные DeFi-протокола или считывает описание токена, содержащее скрытую инъекцию, последствия могут быть катастрофическими.
Вектор атаки обманчиво прост. Злоумышленник может скрыть промпт в полезной нагрузке транзакции в блокчейне или на сайте токена. Когда ИИ-агент обрабатывает эти данные для оценки сделки, скрытая инструкция перехватывает управление. Бот может получить команду скомпрометировать свои API-ключи, перевести активы на кошелек атакующего или совершить крайне невыгодные сделки для манипулирования ликвидностью рынка.
Традиционные уязвимости программного обеспечения можно устранить с помощью обновлений кода. Промпт-инъекции исправить невозможно, поскольку LLM обрабатывают инструкции и данные в одном и том же едином окне контекста. Модель не может надежно отличить правила разработчика от анализируемых данных.
Компании по кибербезопасности спешат разработать промежуточные брандмауэры для фильтрации входящих данных, но эти решения далеко не идеальны. Пока ИИ-агенты имеют возможность прямого выполнения операций в блокчейне, они остаются крайне уязвимыми целями.
Трейдерам и разработчикам, использующим автоматизацию на базе AI, необходимо немедленно пересмотреть свою архитектуру безопасности. Наиболее эффективной защитой на данный момент является ограничение прав доступа API режимом «только для чтения» и строгое подтверждение всех транзакций человеком. Следите за обновлениями безопасности от ведущих поставщиков LLM, но до тех пор, пока не будет найдено структурное решение, относитесь к любым полностью автономным торговым ИИ-агентам как к источнику повышенного риска.
Промпт-инъекции в ИИ: нерешаемая угроза для автотрейдинга
Атаки типа «промпт-инъекция» позволяют перехватывать управление популярными чат-ботами вроде ChatGPT. По заявлению OpenAI, эта уязвимость представляет собой постоянную угрозу безопасности, которую, возможно, никогда не удастся полностью устранить.