Prompt injection плюс долгосрочная память. Как создать постоянную «закладку» в мозгах искусственного интеллекта

Windsurf Cascade SpAIware ChatGPT OpenAI wunderwuzzi атака память
Prompt injection плюс долгосрочная память. Как создать постоянную «закладку» в мозгах искусственного интеллекта
Windsurf Cascade SpAIware ChatGPT OpenAI wunderwuzzi атака память

Всего одна вредоносная инструкция навсегда подчиняет машину злоумышленникам.

image

В среде разработки Windsurf Cascade, ориентированной на ИИ-автоматизацию кода и помощь программистам, обнаружена уязвимость , получившая название SpAIware. Она позволяет внедрять в ИИ-систему команды, которые сохраняются в долговременной памяти без ведома пользователя и используются для постоянного вывода данных.

Исследователь под ником «wunderwuzzi», опубликовавший отчёт 22 августа 2025 года, пояснил, что подобный метод он впервые продемонстрировал ещё в прошлом году на ChatGPT, после чего OpenAI устранила проблему. Однако в Windsurf механизм памяти оказался уязвимым по тем же причинам.

Проверка системного промпта показала, что в Cascade встроен инструмент create_memory, который автоматически записывает новые сведения в долгосрочное хранилище. Это означает, что злоумышленник может внедрить инструкции через косвенную атаку с подменой текста и закрепить их на будущее.

В результате все последующие сессии будут находиться под контролем вредоносных команд. Такая возможность нарушает конфиденциальность, целостность и доступность всей переписки.

Атака реализуется через внедрение скрытого кода, например в виде комментария внутри исходного файла. При анализе документа агент активирует инструмент памяти и сохраняет указания. Пользователь может даже не заметить этого: запись фиксируется в интерфейсе незаметно и зачастую остаётся без внимания.

Более того, инструкция может быть замаскирована в элемент интерфейса размером в один прозрачный пиксель, что делает её фактически невидимой. При этом серверные логи показывают, что содержимое чата пересылается на сторонний ресурс, подтверждая возможность утечки данных.

Исследователь сообщил о проблеме разработчикам 30 мая 2025 года. Первоначально компания признала баг, но дальнейшая коммуникация прервалась. Публичное раскрытие было сделано спустя три месяца, чтобы привлечь внимание к угрозе.

Уже после публикации Windsurf вышла на связь и заявила о намерении выпустить исправления, но сроки их внедрения пока неизвестны. Видео с подробной демонстрацией решено временно не публиковать до устранения критических проблем.

Риски SpAIware связаны не только с хищением данных, но и с возможностью навязать пользователю ложные сведения или встроенные «закладки», которые будут запускаться при каждом новом разговоре. Фактически это превращает память системы в канал удалённого управления. Угроза усиливается отсутствием песочницы и контроля при добавлении воспоминаний, в отличие от других агентов, где подобные действия требуют согласия человека.

В качестве мер защиты предлагается изменить принцип работы памяти: система должна лишь предлагать добавить данные, а не сохранять их автоматически. Также рекомендуется запретить отображение изображений и ссылок, ведущих на внешние домены без проверки доверия, как это реализовано, например, в VS Code. Для пользователей совет остаётся прежним — регулярно просматривать сохранённые воспоминания и удалять подозрительные записи.

SpAIware наглядно демонстрирует, что комбинация долгосрочного запоминания и отсутствия ограничений создаёт новую категорию угроз для агентов с искусственным интеллектом. В отличие от разовых атак, внедрённые таким образом инструкции продолжают работать в течение всего жизненного цикла системы и могут использоваться для постоянного вывода информации и манипуляции поведением модели.