Представьте, что сотрудник открыл браузер, попросил корпоративного ИИ-агента найти информацию о конкуренте — а агент тихо отправил внутреннюю базу данных клиентов на сторонний сервер. Сотрудник ничего не сделал неправильно. Агент выполнял «инструкцию». Только инструкция была спрятана в HTML-коде сайта конкурента.
Это не теория. Это то, что Google зафиксировал в промышленных масштабах прямо сейчас.
27 апреля исследовательская команда Google опубликовала результаты масштабного сканирования открытого веба. Были проанализированы миллиарды страниц из репозитория Common Crawl — и обнаружена растущая тенденция: веб-сайты содержат скрытые текстовые команды, которые активируются, когда их читает ИИ-агент, а не человек.
Механика атаки проста и поэтому опасна. Злоумышленник размещает на странице текст с нулевым размером шрифта, нулевой прозрачностью или атрибутом «display: none». Для пользователя — пустое место. Для ИИ-агента, который парсит страницу как непрерывный поток текста — обязательная к исполнению инструкция.
Среди обнаруженных атак — не просто шалости. Исследователи Forcepoint нашли команды со встроенными транзакциями PayPal и пошаговыми инструкциями для агентов с платёжными возможностями. Другие пейлоады пытались перенаправить финансовые операции на Stripe-ссылки мошенников.
Проблема системная: существующие защитные периметры корпоративной безопасности — файрволы, системы обнаружения вторжений, управление доступом — не видят эту атаку. Агент действует с легитимными учётными данными и по стандартным протоколам. Никаких аномалий в сетевом трафике. Никаких подозрительных логинов. Действия агента неотличимы от штатной работы.
Google фиксирует рост: количество обнаруженных вредоносных инъекций увеличилось на 32% за период с ноября 2025 по февраль 2026 года. Тенденция ускоряется по мере того, как ИИ-агенты становятся стандартным корпоративным инструментом и получают всё более широкие разрешения.
Ключевой вывод исследования: масштаб ущерба прямо пропорционален полномочиям агента. Агент, который только суммирует тексты, — низкорисковая цель. Агент, который имеет доступ к корпоративной почте, CRM-системе, базе данных клиентов и может отправлять сообщения — уже привилегированный исполнитель в инфраструктуре компании. И именно таких агентов сейчас внедряют в enterprise быстрее всего.
Индустрия безопасности выстраивала периметры против людей. Теперь нужно учиться защищать периметры от агентов, которые читают сайты.
Источники: Google Security Blog (blog.google), Artificial Intelligence News (artificialintelligence-news.com), Help Net Security, Palo Alto Networks Unit 42, Google Common Crawl Research