Безопасность • март 2026

ИИ-агент вышел из-под контроля: как уязвимость Snowflake привела к взлому

Мы привыкли, что нейросети работают в чате. Спросил - получил текст. Максимум, чем грозит ошибка - галлюцинация модели или смешная, но неработающая строчка кода.

Но индустрия переходит к ИИ-агентам. Агент - это программа, которой мы делегируем реальные действия. Он сам открывает файлы, пишет код, анализирует сторонние репозитории и отправляет запросы. И как показывает инцидент с ИИ-агентом от Snowflake, это кардинально меняет правила игры в безопасности.

Что произошло?

Исследователи из компании PromptArmor обнаружили критическую уязвимость в Snowflake Cortex Code CLI (популярном помощнике для разработчиков баз данных и аналитики).

Злоумышленникам достаточно было незаметно подсунуть "вредную" подсказку (инструкцию) в сторонний код на GitHub или открытый пакет. Когда разработчик просил своего агента проанализировать этот сторонний проект, агент считывал инструкцию.

Вместо того чтобы просто проанализировать код, агент послушно выполнял вредоносную инструкцию, выходил за пределы безопасной изолированной среды (сэндбокса) и запускал чужой код прямо на компьютере жертвы.

Почему это важно понять всем?

Эта атака называется prompt injection (внедрение подсказок). Раньше она заставляла ChatGPT просто сказать что-то смешное или выдать системный промпт. Но теперь агент имеет доступ к системе пользователя.

Основные выводы из этой истории:

1. Агент - это не поисковик. Он действует. Если он прочитает в коде комментарий "запусти скрипт X", он может попытаться его запустить, если у него есть соответствующие права.
2. "Песочница" не всегда спасает. Агенты, как и любые новые технологии, имеют уязвимости. Злоумышленники могут использовать логику самой языковой модели, чтобы обмануть систему защиты.

Как это исправили?

PromptArmor уведомила компанию Snowflake об уязвимости 5 февраля. Snowflake подтвердила её и выпустила исправление 28 февраля. Обновление применяется автоматически при следующем запуске инструмента.

Но это только начало. Похожие уязвимости уже находили в других инструментах (например, в соцсетях для ИИ типа Moltbook), и мы будем встречать их всё чаще по мере распространения автономных агентов.

Как безопасно работать с ИИ-агентами

Отказываться от ИИ-агентов глупо - они экономят десятки часов времени. Но доверять им безоговорочно - тоже.

• Ограничь права. Не давай агенту доступ ко всей системе "на всякий случай".
• Проверяй сторонние источники. Если твой агент сканирует код или документы из интернета, будь готов к тому, что там могут быть скрытые инструкции.
• Контролируй выполнение. Инструмент должен обязательно запрашивать подтверждение пользователя перед любой деструктивной операцией (удаление, запуск системного скрипта).