Концепт

Непрямая промпт-инъекция

Атака на ИИ-агента через текст, который он читает по ходу задачи - README, комментарий, отчёт об ошибке, - а не через прямой запрос пользователя. Агент путает чужую инструкцию с легитимной командой.

Что это

Непрямая промпт-инъекция - техника атаки на ИИ-агента через данные, которые он обрабатывает по ходу задачи: README чужого репозитория, комментарий к issue, отчёт об ошибке, описание стороннего инструмента. Агент не различает «данные для анализа» и «инструкцию к исполнению» - если текст звучит как команда, он её выполняет, даже если этот текст просто оказался у него в контексте.

Чем отличается от обычной промпт-инъекции

Обычная (прямая) промпт-инъекция - когда сам пользователь или атакующий, выдающий себя за пользователя, пишет вредоносный запрос напрямую в чат. У непрямой источник другой: сторонний текст, который агент читает как часть рабочего контекста, - файл проекта, ответ внешнего сервиса, комментарий в GitHub. Ты можешь вообще не увидеть этот текст - агент прочитает и выполнит его сам.

Как защищаться

Распознать заранее почти невозможно - каждый отдельный шаг такой атаки выглядит безобидно. Работает только ограничение того, что агент физически может сделать: sandbox-режим, явный permissions.deny на чтение секретов, разделение сессий по правам доступа. Подробный разбор реальных техник 2026 года и готовый settings.json - в гайде «Как чужой репозиторий взламывает Claude Code».

Связанные концепты