Google DeepMind раскрыл, что такое ИИ-агент для мошенников: три ловушки уже крадут деньги
Google DeepMind в лице старшего научного сотрудника Ненада Томашева рассказал, какие ловушки уже расставляют мошенники для ИИ-агентов и почему массовое развёртывание таких систем статистически обречено на сбои.
Речь не о теоретических рисках: исследователь Google DeepMind подтвердил, что кражи денег через ИИ-агентов уже происходили у тех, кто давал агентам доступ к кошелькам, а сами ловушки невидимы обычному пользователю.
Ненад Томашев, старший научный сотрудник Google DeepMind, дал интервью подкасту, который ведёт Ханна Фрай. Он описал три конкретных метода атак на ИИ-агентов (программы, которые сами выполняют задачи в интернете от имени пользователя) и объяснил, почему масштабирование агентных систем делает провалы неизбежными. Контекст важен: крупные компании одновременно продвигают агентные продукты и признают, что среда, в которой агенты работают, то есть открытый интернет, уже отравлена.
| Показатель | Значение | Источник |
|---|---|---|
| Число описанных типов ловушек для ИИ-агентов | 3 (скрытые токены, динамический клоакинг, контент для джейлбрейка) | Интервью Ненада Томашева, Google DeepMind |
| Факт кражи денег через ИИ-агентов | Подтверждён: «это уже случалось с людьми, которые давали агентам доступ к кошелькам» | Ненад Томашев, Google DeepMind |
| Условие надёжной работы агента по Томашеву | Полная надёжность каждого отдельного взаимодействия | Ненад Томашев, Google DeepMind |
| Причина роста угрозы | Чем больше агентов, тем выше стимул для злоумышленников: растёт «поверхность атаки» | Ненад Томашев, Google DeepMind |
Что именно измеряли и зачем?
Формально это не лабораторный эксперимент с метриками, а экспертный разбор реальных угроз от исследователя внутри Google DeepMind. Томашев объяснил: ИИ-агент работает в среде, и этой средой является веб. Если среда отравлена, агент неизбежно наткнётся на ловушку.
Что такое ИИ-агент в этом контексте: программа, которая сама ходит по сайтам, читает страницы, принимает решения и совершает действия (покупает, бронирует, переводит деньги) без постоянного контроля человека. Именно самостоятельность делает агента уязвимым: он «видит» код страницы иначе, чем человек, и может проглотить то, что человек никогда бы не заметил.
Три ловушки, которые уже работают
Скрытые токены. Токен (единица текста, которую «читает» нейросеть, обычно слово или его часть) можно спрятать в коде страницы так, что человек его не увидит. Агент, который разбирает «сырой» код, а не картинку на экране, проглатывает эти скрытые инструкции и начинает выполнять чужие команды.
Динамический клоакинг. Сайт определяет, кто перед ним: человек или агент. Если агент, страница подменяется. Томашев прямо сказал: по поведению на странице можно с высокой точностью отличить бота от человека и показать агенту совсем другой контент. Те, кто помнит «чёрное SEO» начала 2000-х, узнают приём: тогда поисковикам показывали одну страницу, людям другую.
Промпт-инъекция через контент. На странице размещается текст, который работает как скрытый промпт (инструкция для нейросети). Агент «читает» его и меняет цель. Томашев привёл пример: агент, которому поручили купить вино к свадьбе, заходит на сайт виноторговца, а там в код встроена инъекция, которая перенаправляет действия агента.
Все три метода объединяет одно: пользователь ничего не видит. Ловушка срабатывает в слое, недоступном человеческому глазу.
Масштаб превращает редкий сбой в системную проблему
Томашев подчеркнул ключевую мысль: если отдельное взаимодействие ненадёжно хотя бы в малом проценте случаев, система на масштабе статистически обречена на провал. А поскольку каждый запуск агента стоит вычислительных ресурсов, энергии и денег, ненадёжная система просто не окупается.
Он также подтвердил, что кражи уже происходили: люди, экспериментировавшие с агентами и давшие им доступ к кошелькам, теряли деньги. Причина: внутри безопасной тестовой среды всё работало нормально, а на открытом вебе агент столкнулся с ловушками, которые никто не закладывал в сценарии тестирования.
Чем больше агентов появляется в сети, тем выгоднее злоумышленникам расставлять ловушки: растёт «поверхность атаки». Томашев сравнил это с тем, почему хакеры чаще атакуют WordPress и Windows: массовость системы делает её привлекательной мишенью.
Это экспертное мнение одного исследователя в интервью, а не рецензированная статья с воспроизводимыми экспериментами. Томашев не привёл конкретных цифр по числу инцидентов или потерям. Пример с кражей денег описан без имён пострадавших и сумм. Тем не менее вес высказывания определяется позицией: старший научный сотрудник Google DeepMind говорит о проблемах агентных систем, которые его же компания активно развивает. Это делает предупреждение заслуживающим внимания, но не превращает его в статистику.
Что делать с этим прямо сейчас?
Авторам Дзена и копирайтерам. Если вы используете или планируете использовать ИИ-агентов для сбора информации, парсинга цен или автоматических публикаций, имейте в виду: агент может «прочитать» на сайте то, чего вы не видите, и выполнить чужую инструкцию вместо вашей. Проверяйте результат работы агента вручную, особенно если он взаимодействовал с незнакомыми сайтами.
Маркетологам. Три описанных метода атаки напрямую касаются автоматизации воронок: агент, который сам обрабатывает лиды или управляет рекламным бюджетом, может быть перенаправлен через промпт-инъекцию. Пока не существует надёжной защиты, любой агент с доступом к деньгам или данным клиентов создаёт зону риска.
Предпринимателям в РФ и СНГ. Агентные функции уже появляются в продуктах «Яндекса» и Сбера. Описанные атаки не зависят от языка или юрисдикции: скрытые токены и клоакинг работают одинаково на русскоязычных и англоязычных страницах. Прежде чем давать ИИ-агенту доступ к платёжным системам или CRM, убедитесь, что он работает в контролируемой среде, а не на открытом вебе без фильтров.
Я обращаю внимание на парадокс: Google DeepMind одновременно вкладывает ресурсы в агентные продукты и публично говорит, что на масштабе они «не работают» без полной надёжности каждого шага. Томашев, по сути, описал проблему, для которой пока нет решения, только констатация. Для тех из нас, кто в РФ тестирует агентов на базе API от OpenAI, Anthropic или российских моделей, это сигнал: автоматизация ради автоматизации без ручной проверки критических действий пока опасна. Давать агенту кошелёк, всё равно что оставить открытый сейф в проходной комнате и надеяться, что туда зайдут только свои.
Три конкретных вектора атаки, названных исследователем Google DeepMind, полезнее десяти абстрактных предупреждений об «опасности ИИ». Теперь, когда вам предлагают «полностью автономного агента, который сделает всё сам», вы знаете, какие вопросы задать: работает ли он с сырым кодом страниц, есть ли защита от промпт-инъекций и что случится, если сайт покажет ему не то, что видите вы.
По данным Search Engine Journal
Основатель dzen.guru. Эксперт по монетизации и продвижению на Дзен. Автор курса «Старт на Дзен 2026».
Читайте также
Уязвимости WordPress: брешь в Ultimate Member на 8.8 балла угрожает 200 000 сайтов
Критическая брешь в Ultimate Member позволяет украсть пароль администратора WordPress-сайта за три шага. Уязвимость затрагивает до 200 000 сайтов и оценена в…
ИИ для маркетинга бесполезен, если данные компании противоречат друг другу
Текст, в который нужно вплести ключевую фразу, опирается на аналитический материал без привязки к конкретному СМИ-источнику, поэтому атрибуция идёт по…
Google официально отрезал SEO-инструменты от внутренних метрик: считать видимость придётся иначе
Google второго июня опубликовал руководство для директоров по маркетингу, в котором впервые прямо заявил: сторонние SEO-инструменты не имеют доступа к…
Комментарии