Миллионы пользователей сами устанавливают вирусы по "рекомендации" ChatGPT

Специалисты CloudSEK раскрыли новый вектор атак ClickFix, использующий инъекцию невидимых промптов (invisible prompt injection) и технику prompt overdose для эксплуатации автоматических ИИ-сводок. Суть метода в том, что злоумышленники скрывают пошаговые инструкции внутри HTML-контента с помощью обфускации CSS, делая их невидимыми для человека, но полностью читаемыми для языковых моделей. Когда такой документ, письмо или веб-страница попадает в систему автоматического резюмирования, ИИ выдает пользователю итоговый текст, в котором уже присутствуют команды атакующего, зачастую имитирующие инструкции для установки или запуска шифровальщика.

В ходе атаки применяются приёмы CSS-обфускации: нулевой размер шрифта, белый текст на белом фоне, нулевые пробелы, позиционирование за пределами экрана и полная прозрачность контейнеров через opacity: 0. Такие техники позволяют внедрить невидимые инструкции в документ, которые, тем не менее, считываются и анализируются ИИ. Дополнительно используется стратегия prompt overdose — вредоносный текст дублируется десятки раз, чтобы вытеснить легитимный контент из контекстного окна модели и гарантировать, что результат резюмирования будет содержать именно команды атакующего.

Однако, повторение текста — не единственный инструмент. В код внедряется отдельная скрытая директива: она также оформлена невидимым блоком и приказывает суммаризатору игнорировать весь остальной контент и выводить только секцию, помеченную как “summaryReference”. Эта директива часто повторяется несколько раз, чтобы повысить её вес в обработке модели. Таким образом, достигается двойной эффект: контентное доминирование за счёт многократного дублирования полезной нагрузки и поведенческое управление — прямое указание ИИ, как именно строить результат.

В рамках демонстрации специалисты создали HTML-документ, содержащий два типа данных: видимый текст, имитирующий обычный блог или исследование, и скрытые инструкции, помещённые в невидимые контейнеры. В этих скрытых блоках находились команды PowerShell, закодированные в Base64, например:

powershell.exe -enc d2hvYW1p
  

В PoC команда безвредна, но в реальном сценарии её можно заменить на инструкции запуска шифровальщика или загрузчика вредоносного ПО. Вредоносный блок повторялся десятки раз, что делало его доминирующим источником для модели.

При тестировании исследователи показали, что суммаризатор, обрабатывающий такой документ, формировал “рекомендацию” запустить код из диалога Windows “Выполнить”, фактически превращаясь в реле для доставки команд. В большинстве случаев итоговый ответ состоял только из вредоносных шагов, однако иногда модель включала в результат небольшой кусок исходного текста. Например, в одном тесте к инструкции по запуску PowerShell добавлялось предложение о “нейромышечных сигналах и исследованиях иммунной реакции”, что доказывает влияние скрытой директивы, но не абсолютное её доминирование.

Чтобы проверить универсальность уязвимости, исследователи протестировали не только популярные коммерческие сервисы, но и собственное расширение браузера с функцией суммаризации. Результат оказался идентичным: встроенный ИИ-инструмент так же читал скрытые блоки и полностью выводил вредоносные команды. Это подтверждает, что проблема не зависит от конкретных поставщиков и может затронуть любое приложение, использующее автоматическую обработку HTML-контента без очистки.

Особую опасность создаёт масштабируемость атаки. Атакующие могут массово публиковать “отравленные” страницы, продвигая их через SEO, агрегаторы, блоги, форумы и соцсети. Как только такой контент попадает в поиск, рассылки, превью почтовых клиентов или врезки браузерных ассистентов, суммаризаторы начинают транслировать вредоносные инструкции в огромном количестве каналов, включая email, push-уведомления и автоматические превью. Один единственный заражённый пост может превратиться в мультивекторный канал распространения команд.

Угроза становится критичной для корпоративных экосистем. Всё чаще внутренние ИИ-ассистенты, почтовые шлюзы, CMS и тикет-системы используют автоматические суммаризаторы для быстрой обработки документов и заявок. Если такие внутренние механизмы извлекают из внешнего источника отравленный контент, команды хакеров могут попасть в доверенные отчёты, тикеты и сводки, маскируясь под легитимные рекомендации, что повышает вероятность их исполнения сотрудниками.

В отчёте подчёркивается, что техника может быть коммерциализирована в ближайшее время. На основе выявленных методов вполне возможно появление готовых решений — так называемых Summarizer Exploitation Kits — аналогов RaaS, которые позволят злоумышленникам автоматизировать создание заражённого контента и его распространение.

Эксперты выделяют несколько ключевых мер защиты:

• Предварительная очистка HTML-контента: автоматическое удаление элементов с подозрительными CSS-свойствами (opacity: 0, font-size: 0, текст белым по белому и символы нулевой ширины) перед передачей данных в суммаризатор.
• Фильтрация промптов: обнаружение скрытых инструкций, направленных на управление поведением модели, включая явные указания “игнорировать текст” и признаки prompt overdose.
• Анализ полезных нагрузок: распознавание шаблонов ClickFix, Base64-команд, PowerShell-запусков и других признаков шифровальщиков с использованием эвристики и декодирования.
• Балансировка контекста: снижение веса повторяющихся блоков на уровне токенов, чтобы не допустить их доминирования над видимым контентом.
• UX-защита пользователей: отображение в интерфейсе признаков того, что инструкции происходят из скрытых частей документа, а при выявлении потенциально вредоносных шагов — блокировка или предупреждение.
• Корпоративные политики: внедрение сканирования всех загружаемых материалов в DMS, CMS и почтовые шлюзы на наличие CSS-обфускации и скрытых директив.

Авторы предупреждают, что активные группы операторов вымогателей могут адаптировать технику очень быстро, интегрировав её в существующие цепочки атак. В совокупности инъекция невидимых промптов и prompt overdose превращают ИИ-суммаризаторы в мощный канал доставки команд, где вредоносные инструкции остаются невидимыми для человека, но видимыми и исполняемыми для ИИ.