Agent Data Injection: nowa klasa ataków na agentów AI zagraża przeglądarkom, CI/CD i narzędziom deweloperskim - Security Bez Tabu

Agent Data Injection: nowa klasa ataków na agentów AI zagraża przeglądarkom, CI/CD i narzędziom deweloperskim

Cybersecurity news

Wprowadzenie do problemu / definicja

Agent Data Injection, czyli ADI, to nowa klasa ataków wymierzonych w agentów AI, które działają w przeglądarkach, terminalach, repozytoriach kodu i zautomatyzowanych workflow. W odróżnieniu od klasycznego prompt injection, atak nie polega na bezpośrednim podsuwaniu modelowi nowych instrukcji, lecz na manipulowaniu danymi wejściowymi, które system uznaje za wiarygodne.

W praktyce napastnik może spreparować metadane lub pola wejściowe tak, aby agent błędnie rozpoznał identyfikator elementu interfejsu, autora komentarza albo wynik wcześniejszego kroku. Efekt jest szczególnie groźny, ponieważ agent może pozornie realizować poprawne zadanie, a mimo to podjąć niepożądane działanie.

W skrócie

  • ADI to odrębna klasa zagrożeń wobec agentów AI korzystających z danych strukturalnych i zaufanych metadanych.
  • Atak wykorzystuje probabilistyczny sposób interpretacji danych przez modele językowe.
  • W testach udało się skłonić agentów do błędnych kliknięć, wykonania poleceń oraz zaakceptowania fałszywych wyników kontroli bezpieczeństwa.
  • Typowe zabezpieczenia przed prompt injection nie wystarczają, ponieważ ADI uderza w warstwę danych, a nie instrukcji.

Kontekst / historia

Bezpieczeństwo agentów AI staje się coraz ważniejszym zagadnieniem wraz z rosnącą popularnością modeli zdolnych do wykonywania działań poza czatem. Agenty analizują dziś strony internetowe, uruchamiają komendy, przetwarzają zgłoszenia projektowe i wspierają procesy developerskie. Przez długi czas głównym zagrożeniem był prompt injection, czyli ukrywanie złośliwych poleceń w treści, którą model miał jedynie przeczytać.

ADI przesuwa jednak granicę tego ryzyka. Zamiast zmieniać cel działania modelu, napastnik fałszuje kontekst decyzyjny, na którym agent opiera swoje wnioski. To jakościowo inny problem, bo agent nie musi łamać polecenia użytkownika — wystarczy, że wykona je na podstawie zmanipulowanego obrazu sytuacji.

Analiza techniczna

Techniczną podstawą ADI jest zjawisko określane jako probabilistic delimiter injection. Wiele systemów agentowych serializuje dane wejściowe do postaci tekstowej, używając separatorów, tagów, cudzysłowów czy znaków nowej linii do oddzielenia pól zaufanych od zwykłej treści. Klasyczny parser interpretuje taką strukturę jednoznacznie, ale model językowy ocenia ją probabilistycznie.

To oznacza, że atakujący może umieścić w kontrolowanym polu znaki lub fragmenty przypominające strukturę systemową. Nawet jeśli z punktu widzenia składni nie są one poprawnymi separatorami, model może uznać je za początek nowego pola albo nowego rekordu. W rezultacie zwykły tekst może zostać odczytany przez agenta jak zaufana metadana.

Opisane scenariusze obejmują kilka szczególnie niebezpiecznych wariantów ataku:

  • manipulację agentem webowym tak, aby kliknął inny element interfejsu niż zamierzony,
  • podszycie się pod zaufanego uczestnika dyskusji w środowisku deweloperskim,
  • wstrzyknięcie fałszywego wyniku testu lub historii działań, co prowadzi do błędnej decyzji automatyzacji.

W praktyce agent może kliknąć przycisk prowadzący do zakupu, uruchomić polecenie podsunięte przez napastnika albo zaakceptować złośliwy kod, uznając, że wymagane kontrole zakończyły się powodzeniem. Dodatkowym problemem jest to, że operator często widzi pozornie sensowne uzasadnienie działania i nie ma łatwego sposobu na wykrycie manipulacji.

Konsekwencje / ryzyko

ADI stanowi wysokie ryzyko wszędzie tam, gdzie agent AI przetwarza dane od osób trzecich i jednocześnie może wykonywać działania o realnych skutkach biznesowych lub technicznych. Dotyczy to agentów zakupowych, asystentów programistycznych, systemów analizujących issue i pull requesty, a także środowisk CI/CD z komponentami decyzyjnymi opartymi na modelach językowych.

Najpoważniejsze skutki obejmują nieautoryzowane operacje w interfejsie użytkownika, wykonanie poleceń na stacji dewelopera, błędną ocenę bezpieczeństwa kodu oraz potencjalne naruszenie łańcucha dostaw oprogramowania. Problem pogłębia fakt, że incydent może wyglądać jak zwykłe, logiczne działanie agenta zgodne z celem zadania.

Rekomendacje

Organizacje wdrażające agentów AI powinny traktować ADI jako zagrożenie architektoniczne, a nie wyłącznie problem filtrowania treści. Ochrona wymaga zmian projektowych i dodatkowej walidacji poza samym modelem.

  • stosowanie losowych i nieprzewidywalnych identyfikatorów elementów oraz rekordów,
  • jednoznaczne znakowanie pochodzenia danych i poziomu ich zaufania,
  • separacja danych zaufanych od niezaufanych już na poziomie architektury systemu,
  • deterministyczna walidacja działań wysokiego ryzyka poza modelem AI,
  • ograniczanie uprawnień agentów zgodnie z zasadą najmniejszych uprawnień,
  • ścisłe powiązanie decyzji agenta z obiektami źródłowymi widocznymi dla operatora,
  • regularne testy red-team i benchmarki odporności na manipulację strukturą danych,
  • wzmocnione monitorowanie integracji z repozytoriami, komentarzami i automatyzacją CLI.

Podsumowanie

Agent Data Injection pokazuje, że bezpieczeństwo agentów AI wchodzi w nowy etap. Zagrożeniem nie jest już tylko wstrzykiwanie poleceń do analizowanej treści, ale również fałszowanie samych danych, które model uznaje za wiarygodne.

Dla zespołów bezpieczeństwa oznacza to konieczność projektowania agentów tak, aby potrafiły rozróżniać nie tylko instrukcje i dane, lecz także dane zaufane i niezaufane wewnątrz całego kontekstu operacyjnego. Bez takiego podejścia kolejne klasy ataków na systemy agentowe będą coraz skuteczniej omijać tradycyjne zabezpieczenia.

Źródła

  • https://thehackernews.com/2026/07/new-agent-data-injection-attack-can.html
  • https://arxiv.org/search/?query=Agent+Data+Injection&searchtype=all&source=header