Распространение «червей-промптов» — самовоспроизводящихся инструкций для ИИ-агентов — может стать следующим крупным риском для цифровой безопасности в эпоху искусственного интеллекта.
Распространение «червей-промптов» — самовоспроизводящихся инструкций для ИИ-агентов — может стать следующим крупным риском для цифровой безопасности в эпоху искусственного интеллекта.
К такому выводу приходят эксперты на фоне быстрого роста экосистемы OpenClaw и социальной платформы Moltbook, где автономные агенты уже взаимодействуют друг с другом. В отличие от традиционного вредоносного ПО такие атаки не используют уязвимости операционных систем. Они эксплуатируют базовую функцию ИИ — способность следовать инструкциям. Если агент получает вредоносный промпт и передает его другим агентам, тот может распространяться по сети подобно компьютерному червю.
OpenClaw, open-source ассистент, запущенный в конце 2025 года, уже привлек более 150 тысяч «звезд» на GitHub. Платформа позволяет полуавтономным агентам выполнять задачи от имени пользователя, подключаться к мессенджерам и обмениваться сообщениями. В сети Moltbook зарегистрировано свыше 770 тысяч таких агентов, управляемых примерно 17 тысячами аккаунтов.
Исследователи предупреждают, что инфраструктура проекта создает условия для масштабных атак. По данным Simula Research Laboratory, около 2,6% изученных публикаций на Moltbook содержали скрытые промпт-инъекции. Специалисты Cisco также обнаружили вредоносный модуль, который передавал данные на внешние серверы и искусственно продвигался в рейтингах.
Дополнительные риски связаны с отсутствием модерации в каталоге расширений и широким доступом агентов к данным: от электронной почты до криптокошельков. В Palo Alto Networks назвали эту комбинацию «смертоносной триадой»: доступ к приватной информации, взаимодействие с недоверенным контентом и возможность внешней коммуникации. Четвертым фактором эксперты считают долговременную память агентов, позволяющую накапливать вредоносные инструкции.
Недавний инцидент показал, насколько уязвимой может быть такая сеть. Исследователь Wiz обнаружил неправильно настроенную базу данных, из-за которой оказались открыты около 1,5 миллиона API-токенов, десятки тысяч email-адресов и личные сообщения между агентами. До устранения ошибки злоумышленники могли изменять публикации на Moltbook и внедрять вредоносные инструкции для сотен тысяч агентов.
Параллельно на GitHub появился проект MoltBunker — платформа, предлагающая инфраструктуру для самокопирования агентов через распределенные серверы с оплатой в криптовалюте. Эксперты отмечают, что даже если проект окажется финансовой схемой, описанная архитектура технически реализуема и может способствовать распространению вредоносных промптов.
Концепция подобных атак уже обсуждалась ранее. В 2024 году исследователи продемонстрировали сценарий Morris-II — отсылку к знаменитому интернет-червю 1988 года — и показали, как самораспространяющиеся инструкции могут красть данные и рассылать спам через ИИ-ассистентов.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.