Обіцянки повністю автоматизованих торгових ШІ-агентів зіткнулися з серйозною технічною перешкодою. OpenAI, Anthropic та Google намагаються впоратися з фундаментальною вразливістю своїх великих мовних моделей (LLM), відомою як ін’єкція промптів (prompt injection). Хакер може перехопити контроль над такими системами, як ChatGPT, Claude або Gemini, за допомогою лише одного ретельно сформульованого речення. Ба більше, в OpenAI визнали, що цю проблему, можливо, ніколи не вдасться повністю вирішити.
Для криптосектору, де штучний інтелект дедалі частіше інтегрують у торгових ботів, системи аудиту смартконтрактів та управління портфелями, це створює системний ризик. Суть експлойту полягає в тому, що він змушує ШІ ігнорувати початкові системні інструкції розробника та виконувати команди, приховані в зовнішніх даних. Якщо автоматизований торговий бот аналізує метадані DeFi-протоколу або зчитує опис токена, що містить приховану ін’єкцію, наслідки можуть бути катастрофічними.
Вектор атаки є оманливо простим. Зловмисник може сховати шкідливий промпт у корисне навантаження транзакції в блокчейні або на вебсайті токена. Коли ШІ-агент обробляє ці дані для оцінки угоди, прихована інструкція перехоплює керування. Бот може отримати команду передати свої API-ключі, переказати активи на гаманець зловмисника або здійснити вкрай невигідні угоди для маніпулювання ліквідністю на ринку.
Традиційні вразливості програмного забезпечення можна виправити за допомогою оновлень коду. Проте ін’єкцію промптів усунути в такий спосіб неможливо, оскільки мовні моделі обробляють інструкції та дані в одному спільному вікні контексту. Модель просто не здатна надійно відрізнити правила розробника від інформації, яку вона аналізує.
Компанії з кібербезпеки поспішають розробляти захисні екрани для фільтрації вхідних даних, але ці рішення далекі від ідеалу. Поки ШІ-агенти мають можливість безпосереднього виконання операцій у блокчейні, вони залишатимуться вкрай вразливими цілями.
Трейдерам та розробникам, які використовують автоматизовані ШІ-системи, слід негайно переглянути архітектуру безпеки. Найефективнішим захистом наразі є обмеження дозволів API до режиму «тільки для читання» та впровадження обов’язкового ручного підтвердження для всіх транзакцій. Слід уважно стежити за майбутніми оновленнями безпеки від провідних постачальників мовних моделей, але до появи структурного рішення будь-яких повністю автономних торгових ШІ-агентів варто вважати інструментами високого ризику.
ШІ-ін’єкції промптів: невирішена загроза для торгових ботів
Атаки AI prompt injection можуть захоплювати такі потужні чат-боти, як ChatGPT, створюючи постійну загрозу безпеці, яку OpenAI вважає цілком неусуненною.