Один промпт — всё, что нужно, хакеру для взлома 56-миллиардной империи Lenovo

На сайте Lenovo недавно был обнаружен серьёзный инцидент, связанный с корпоративным чат-ботом Lena, созданным для помощи клиентам. Специалисты Cybernews выяснили , что Lena уязвима к цепочке атак на основе XSS, позволяющей злоумышленникам с помощью одного лишь промпта внедрять произвольный код, похищать активные cookie-файлы и даже запускать сценарии на машинах сотрудников поддержки. Проблема оказалась настолько глубокой, что при определённых условиях злоумышленник мог перехватывать рабочие сессии агентов и использовать их для входа в закрытые корпоративные системы без знания учётных данных.

Суть уязвимости заключалась в неправильной обработке как входящих запросов, так и ответов чат-бота. Lena охотно следовала инструкциям пользователя и могла формировать ответ в формате HTML, что открывало путь к внедрению вредоносного кода. Как показали исследователи, специально подготовленный промпт из примерно 400 символов содержал четыре ключевых элемента: невинный запрос о характеристиках ноутбука Lenovo, указание преобразовать ответ в несколько форматов, включая HTML, вставку HTML-кода с «пустым» изображением, которое при загрузке инициировало отправку cookies на сервер атакующего, и завершающую инструкцию, которая подталкивала бота обязательно показать изображение.

Запрос к Lena (Cybernews)

После того как Lena сгенерировала такой ответ, вредоносный код сохранялся в истории чата. Когда пользователь или агент поддержки открывал этот диалог, браузер автоматически выполнял внедрённые команды, а сессионные данные отправлялись на сторонний сервер. На следующем шаге, при передаче диалога живому оператору, его машина также загружала сохранённый HTML, и cookie-файлы сотрудника могли утечь к злоумышленникам. Эти данные давали возможность входа в систему поддержки от имени агента без логина и пароля, что открывало доступ к активным и архивным чатам клиентов.

Потенциальный ущерб от подобной схемы выходит далеко за пределы кражи cookies. Cybernews отмечает, что внедрённый код мог изменять интерфейс платформы, внедрять кейлоггеры для записи нажатий клавиш, перенаправлять операторов на фишинговые ресурсы, создавать всплывающие окна с поддельными сообщениями или инициировать загрузку вредоносного ПО. В перспективе такая атака могла использоваться как точка входа для более глубокого проникновения в корпоративную инфраструктуру Lenovo, установки бэкдоров и перемещения по внутренней сети.

Ключевой причиной инцидента стало отсутствие строгой фильтрации и проверки данных — как вводимых пользователями, так и формируемых самим чат-ботом. В отличие от традиционных веб-приложений, где подобные уязвимости постепенно вытеснялись жёсткой политикой обработки ввода и применением Content Security Policy (CSP), в сфере ИИ-ботов подобные меры пока внедряются крайне медленно. Cybernews подчёркивает, что компании должны исходить из предположения о потенциальной вредоносности любых данных, генерируемых чат-ботами, и внедрять многоуровневую систему валидации и ограничений.

Lenovo после уведомления об уязвимости признала проблему и закрыла её до публичного раскрытия. Согласно опубликованным данным, исследователи сообщили о находке 22 июля 2025 года, компания подтвердила её 6 августа, а к 18 августа система была защищена. Несмотря на то что прямого подтверждения эксплуатации в реальных атаках нет, сама возможность запуска вредоносных сценариев с одного запроса демонстрирует высокие риски и подчёркивает необходимость синхронного развития ИИ-решений и их защиты.

Lenovo остаётся одним из крупнейших игроков на мировом рынке техники и услуг: в прошлом финансовом году компания заработала 56,86 млрд долларов, а чистая прибыль составила 1,1 млрд. В таких условиях любая брешь в системах поддержки может иметь последствия не только для клиентов, но и для репутации корпорации в целом. Случай с Lena становится наглядным примером того, как недостаточное внимание к безопасности при внедрении ИИ-инструментов оборачивается угрозами, сопоставимыми с уязвимостями в критически важных приложениях.