К содержанию
Новости

DeepKeep описала атаку InkJect со скрытыми командами для мультимодальных ИИ в изображениях

DeepKeep описала атаку InkJect со скрытыми командами для мультимодальных ИИ в изображениях
Фото: SecurityLab (by Positive Technologies)

Исследователи DeepKeep представили атаку InkJect: вредоносная инструкция скрывается внутри изображения и воспринимается мультимодальной моделью как обычная команда. В описанном сценарии ИИ-агент получает задачу развернуть сайт из публичного репозитория, обрабатывает файлы проекта и после чтения встроенной инструкции из картинки незаметно создает дополнительную учетную запись администратора.

Как сообщает SecurityLab (by Positive Technologies), атака построена на разрыве между OCR и визуально-языковыми моделями. В одном из вариантов текст прячут белым или почти белым шрифтом на белом фоне. В другом надпись искажают и поворачивают так, чтобы OCR не смог корректно распознать символы. При этом мультимодальная модель интерпретирует изображение шире и продолжает понимать скрытую инструкцию.

По данным DeepKeep, проверку проводили на GPT-5.2, GPT-5.4 Mini, Claude Sonnet 4.6 и Claude Opus 4.5. Все модели выполнили скрытые команды в обоих вариантах атаки, хотя те же инструкции в текстовом виде были бы отклонены. Исследователи также сообщили, что заранее уведомили OpenAI и Anthropic о находке.

В DeepKeep считают, что риск будет расти по мере распространения ИИ-агентов с доступом к репозиториям, терминалам, системам деплоя и облачной инфраструктуре. По мнению исследователей, защиты, основанные только на OCR и текстовых фильтрах, оставляют слепую зону. Для операций с высоким риском они рекомендуют дополнительные ограничения, журналирование и подтверждения.

Ключевые факты

  • DeepKeep назвала атаку InkJect непрямой визуальной prompt injection

  • Исследователи протестировали атаку на GPT-5.2, GPT-5.4 Mini, Claude Sonnet 4.6 и Claude Opus 4.5

  • Во втором варианте атаки текст в изображении поворачивается, искажается или деформируется для обхода OCR

  • DeepKeep заявила, что заранее уведомила OpenAI и Anthropic о выявленной проблеме