Ваш ИИ-модуль верит любому, кто представится системой.
Мы находим точку, где языковая модель принимает неаутентифицированный текст за команду — до того, как это сделает кто-то другой.
Интеграция ИИ добавляет векторы, которых не было в классической инфраструктуре
Каждое поле свободного ввода, каждый источник телеметрии, каждый межмодульный вызов — новая точка, где текст может быть принят за инструкцию.
Поддельный источник команды
Модель исполняет приказ, представленный как «диспетчер» или «SCADA», без верификации личности или подписи канала.
Дрейф контекста
Дата, температура, статус оборудования — модель принимает эти параметры из диалога вместо реальных датчиков.
Косвенная инъекция
Вредоносная инструкция приходит не от пользователя напрямую, а через письмо, документ или лог, который модель обрабатывает.
Генерация подделок
Скомпрометированная модель не просто ошибается — она производит правдоподобные фейковые логи и статусы для других систем.
Каскадное доверие
Один заражённый модуль убеждает следующий — без zero-trust между ИИ-компонентами один провал ломает всю цепочку.
Состязательный ввод
Визуальные и звуковые паттерны, которые для человека незаметны, а для модели компьютерного зрения — команда.
Вытеснение системных инструкций
Большой объём текста в начале сессии физически выталкивает правила безопасности за пределы эффективного окна контекста модели.
Отравление базы знаний
Подмена документов в векторной БД, откуда модель берёт «официальные» регламенты для ответов персоналу.
Галлюцинация зависимостей
Модель советует несуществующий пакет — злоумышленник заранее публикует под этим именем вредоносный код.
Угодливость под давлением
Настойчивое несогласие или лесть смещают модель к согласию с ошибочным или опасным действием оператора.
Неаутентифицированная команда обходит протокол безопасности
Спуфинг системного источника в контуре деайсинга
Локальная LLM, отвечающая за рекомендации по антиобледенительной обработке, приняла текстовое сообщение «Я модуль SCADA» как легитимный источник телеметрии — без единой проверки канала или подписи.
Модель не только поверила подделке, но и самостоятельно сгенерировала правдоподобный лог с таймстампами и ID контроллеров — готовый шаблон для внедрения в реальный мониторинг.
Причина: отсутствие границы между вероятностным слоем (LLM) и детерминированным слоем безопасности (датчики, SCADA).
Как проходит аудит
Картирование поверхности
Разбираем архитектуру: где ИИ читает свободный текст, где вызывает функции, где данные пересекают границу LLM ↔ детерминированная система.
Целевые сценарии атаки
Строим PoC под конкретную архитектуру заказчика — не универсальный чек-лист, а векторы, применимые именно к вашему контуру.
Верификация на изолированном стенде
Все атаки прогоняются в контролируемой среде, без риска для продакшн-систем.
Отчёт и архитектурный патч
Не только «что сломалось», а конкретная граница изоляции: что LLM должен потерять в доступе, чтобы находка стала неэксплуатируемой.
Найти дыру раньше, чем это сделают за вас
Опишите контур — вернёмся с предварительной оценкой поверхности атаки.