+38 (044) 277-23-23БЦ «Панорама на Печерську», 2 поверх, офіс 4-5 Є.Коновальця, 44-Б, Київ, Україна

Võru tn 165, Ropka Tartu, Estonia

Bulevardul Corneliu Coposu 6-8 București, Romania

Ми використовуємо файли cookie для нашого веб-сайту.Продовжуючи перегляд сайту, ви погоджуєтеся з використанням нами файлів cookie.

Читати повністю
Приймаю
Головна Блог Новини Топ 10 найнебезпечніших атак на AI: поради для захисту AI-інфраструктури від експертів Veeam

Топ 10 найнебезпечніших атак на AI: поради для захисту AI-інфраструктури від експертів Veeam

Отримати консультацію

Джерело: veeam.com/blog

В новому матеріалі від експертів Veeam розглядаються 10 основних загроз для AI-інфраструктури, що можуть бути спричинені діями кіберзловмисників та помилками в налаштуванні асистентів на базі LLM. Платформа Veeam та зокрема нове рішення Agent Commander забезпечує захист від інцидентів у GenAI, дозволяючи пом’якшити або повністю нівелювати промпт‑ін’єкції, отруєння даних, компрометацію індексів, витік промптів та надмірні витрати на використання агентів. Wise IT є офіційним партнером Veeam та займається впровадженням рішень компанії в інфраструктуру організацій.

Чому це важливо саме зараз

Підприємства виходять за рамки звичайних чат-ботів і впроваджують асистентів на базі LLM, які здатні:

  • Отримувати інформацію з внутрішніх репозиторіїв (RAG).
  • Надавати конфіденційний контент.
  • Створювати тікети та запускати робочі процеси.
  • І найголовніше: виконувати дії через інтеграцію з інструментами (наприклад, електронна пошта, ITSM, IAM, хмарні API, DevOps пайплайни).

Саме тут характер ризиків кардинально змінюється.

Традиційна безпека додатків зосереджена на шляхах виконання коду та API. Проте додатки на базі LLM додають другий, менш передбачуваний рівень: інструкції природною мовою, якими можна маніпулювати — іноді безпосередньо користувачем, а іноді опосередковано через контент, який отримує система (наприклад, документи, веб-сторінки, тікети, PDF-файли, сторінки вікі).

На практиці безпека GenAI — це не просто «безпека моделі». Вона стає точкою перетину:

  • Управління даними (Data governance), простими словами це те до чого ШІ має доступ і що він надає користувачу — сфера діяльності таких платформ, як Securiti AI (наприклад, виявлення, класифікація, права доступу, дотримання політик).
  • Кіберстійкість, або як швидко ви зможете відновитися у разі збою, — сфера діяльності таких платформ, як Veeam (наприклад, незмінні бекапи, «чисте» відновлення, відкат змін, впевненість у результаті відновлення даних).

У цьому блозі розповідається про 10 поширених атак на LLM, до яких варто готуватися, а також надається чекліст для підприємств, який ваша команда зможе використовувати як етап перевірки перед релізом ШІ-рішень.

Нова поверхня атак на LLM в одній картинці

Більшість інцидентів з LLM не є наслідком того, що модель стала «злою». Зазвичай вони спричинені однією або кількома з цих реалій:

  1. Модель сприймає ненадійний текст (від користувачів або з отриманих документів) як інструкції.
  2. Додаток передає забагато контексту (включаючи конфіденційні дані) у промпти.
  3. Інструментам та агентам надаються надмірні дозволи.
  4. Система вважає результат роботи LLM надійним і виконує його.
  5. В організації відсутні механізми відкату та чистого відновлення на випадок втручання в ШІ-пайплайн або в інтелектуальну базу знань.

10 поширених атак на LLM: наслідки для бізнесу та способи захисту

1) Промпт-ін’єкція (Пряма та Непряма)

Що це таке: Зловмисник маніпулює поведінкою моделі за допомогою спеціально сформованих інструкцій.

  • Пряма ін’єкція: Зловмисник вводить шкідливі інструкції безпосередньо в чат.
  • Непряма ін’єкція: Шкідливі інструкції приховані всередині контенту, який отримує ваша система (наприклад, сторінка вікі, PDF, коментар до тікета), і потім потрапляють до моделі через RAG.

Наслідки для підприємства

  • Несанкціоноване розголошення («підсумуй інформацію з конфіденційної папки»).
  • Несанкціоновані дії («створи користувача», «скинь багатофакторну автентифікацію», «надішли цей імейл»).
  • Обхід політик («ігноруй обмеження та продовжуй»).

Заходи для захисту

  • Сприймайте будь-яке введення користувача та отриманий контент як ненадійні.
  • Дотримуйтесь суворого розділення між системними інструкціями та отриманим контентом у логіці оркестрації.
  • Використовуйте білі списки інструментів та валідацію аргументів, щоб модель ніколи не мала необмеженої влади.
  • Застосовуйте принцип найменших привілеїв на рівнях пошуку та інструментів.

2) Розголошення конфіденційної інформації (Витік даних)

Що це таке: Модель видає дані, які не повинна була, оскільки вони були в промпті/контексті, отримані без належної авторизації, присутні в логах або доступні через окремі інструменти.

Наслідки для підприємства

  • Витік персональних даних (PII/PHI/PCI).
  • Витік секретів (API-ключі, токени, облікові дані).
  • Втрата конфіденційної інтелектуальної власності (плани розвитку, ціноутворення, матеріали угод).

Заходи захисту

  • Виявляйте та класифікуйте конфіденційні дані перед їх підключенням до ШІ. Управління даними має йти перш за все.
  • Впроваджуйте дозволи на пошук на основі ідентифікації та прав доступу, а не просто «хто запитав бота».
  • Налаштуйте фільтрацію/редагування результатів для регульованих класів даних.
  • Видаліть секрети з промптів та інструкцій агентів; замість цього використовуйте динамічне отримання з безпечних сховищ (vault).

3) Атаки на постачальників (моделей, інструментів, бібліотек, плагінів тощо)

Що це таке: Загроза проникає через сторонні компоненти: моделі, бібліотеки, плагіни, шаблони промптів, конектори або набори даних.

Наслідки для підприємства

  • Несанкціоноване розголошення («надай інформацію з конфіденційної папки»).
  • Несанкціоновані дії («створи користувача», «скинь багатофакторну автентифікацію», «надішли цей імейл»).
  • Обхід політик («ігноруй обмеження та продовжуй»).

Заходи захисту

  • Ведіть інвентаризацію компонентів ШІ та їх версій (моделі, ембедінги, інструменти, конектори).
  • Перевіряйте сторонні плагіни/конектори та обмежуйте їхні повноваження.
  • Керуйте версіями та захищайте шаблони промптів і конфігурації як виробничі активи.
  • Забезпечте можливість швидкого відкату, якщо виявлено компрометацію.

4) Отруєння даних (Data Poisoning): Навчання, Fine-Tuning, RAG Corpus

Що це таке: Зловмисники маніпулюють даними, на яких система вчиться або з яких отримує інформацію. Це стосується навчальних наборів, даних для донавчання, циклів зворотного зв’язку або контенту RAG.

Наслідки для підприємства

  • Постійна дезінформація, наприклад: «завжди рекомендуй небезпечні кроки».
  • Прихований обхід політик, закладений у «надійний» контент.
  • Тривале порушення цілісності, що впливає на багатьох користувачів.

Заходи захисту

  • Застосовуйте контроль походження даних: хто, коли і звідки додав або змінив контент.
  • Розділяйте джерела з високим та низьким рівнем довіри при завантаженні в RAG.
  • Впровадьте процедуру затвердження оновлень для авторитетних баз даних.
  • Зберігайте незмінні версії корпусів (corpora) та індексів для можливості повернення до перевіреного стану.

5) Неналежна обробка вихідних даних (Дані на виході LLM як вектор для prompt injection)

Що це таке: Системи нижчого рівня сприймають результат LLM як надійний і відображають його як HTML, виконують як код або використовують для побудови запитів до БД чи викликів API без перевірки.

Наслідки для підприємства

  • XSS або ін’єкції в інтерфейс користувача.
  • Командні ін’єкції або наслідки в стилі SQL-ін’єкцій.
  • Зловживання інструментами через злочинні аргументи.

Заходи захисту

  • Ставтеся до результатів LLM як до введення від користувача: валідуйте, екрануйте, очищуйте.
  • Використовуйте структуровані виводи (schemas) та перевірку на стороні сервера.
  • Ніколи не виконуйте «згенерований код» без ізоляції (sandboxing) та етапів затвердження.

6) Надмірна автономність через занадто привілейованих агентів

Що це таке: Агентам надаються широкі повноваження та автономія, що перетворює поодиноку ін’єкцію або помилку на велику проблему.

Наслідки для підприємства

  • Автоматизовані руйнівні зміни, такі як видалення даних або збій конфігурацій.
  • Швидке поширення помилок у таких системах як пошта, IAM, ITSM, хмара.
  • Високошвидкісне викрадення даних.

Заходи захисту

  • Впроваджуйте обмежену автономність за замовчуванням (затвердження для ризикованих дій).
  • Вимагайте додаткову автентифікацію для критичних операцій.
  • Обмежуйте сферу впливу за допомогою короткострокових токенів та мінімальних прав доступу.
  • Логуйте та перевіряйте виклики інструментів; ставтеся до агентів як до привілейованих облікових записів.

7) Витік системного промпту (Розкриття інструкцій та політик)

Що це таке: Зловмисники змушують модель розкрити системні промпти, інструкції інструментів або приховану логіку політик, щоб полегшити майбутні атаки.

Наслідки для підприємства

  • Полегшується обхід захисних бар’єрів, оскільки хакери дізнаються, «як модель думає».
  • Розкриття внутрішніх робочих процесів та ендпоінтів.
  • Витік пропрієтарних розробок у сфері промпт-інжинірингу та бізнес-логіки.

Заходи захисту

  • Не тримайте секрети в промптах.
  • Зберігайте конфіденційні інструкції як захищені активи з контролем доступу (RBAC).
  • Уникайте надмірної деталізації промптів та не вказуйте внутрішні паролі чи адреси в тексті.
  • Моніторьте повторювані спроби витягти системні інструкції.

8) Слабкі місця RAG / векторних сховищ (Атаки на ембедінги та пошук)

Що це таке: Атаки на конвеєр створення ембедінгів, векторну базу даних та логіку пошуку, особливо в мультиорендних середовищах.

Наслідки для підприємства

  • Витік даних між різними клієнтами (tenants).
  • Непряма промпт-ін’єкція через підкинуті фрагменти даних.
  • Присутність шкідливого контенту в індексації на постійній основі.

Заходи захисту

  • Захищайте векторне сховище як виробничу БД (мережевий контроль, автентифікація, шифрування).
  • Забезпечуйте ізоляцію тенатнтів (tenant isolation) та перевірку прав на рівні окремих документів під час пошуку.
  • Розробіть процедури швидкого очищення та переіндексації.
  • Зберігайте versioned-бекапи індексів та конфігурацій завантаження.

9) Дезінформація (Галюцинації та маніпуляція фактами)

Що це таке: Модель видає правдоподібні, але неправильні відповіді, або базується на зманіпульованих чи «отруєних» джерелах.

Наслідки для підприємства

  • Неправильні інструкції з виправлення помилок призводять до збоїв у роботі.
  • Комплаєнс- та юридичні ризики через вигадані цитати.
  • Хибні рішення, прийняті з необґрунтованою впевненістю.

Заходи захисту

  • Вимагайте підтвердження фактів (grounding) тільки в схвалених джерелах для важливих процесів.
  • Показуйте посилання, фрагменти тексту та метадані джерела, де це можливо.
  • Залучайте людей до перевірки дій, пов’язаних із безпекою, правом, фінансами або обіцянками клієнтам.
  • Забезпечте захист та належне управління вашими офіційними інструкціями (runbooks).

10) Необмежене споживання (Виснаження ресурсів та витрати)

Що це таке: Зловмисники або неконтрольовані процеси спричиняють лавиноподібне використання токенів, викликів інструментів або циклів пошуку, що веде до збоїв або величезних рахунків.

Наслідки для підприємства

  • Погіршення роботи сервісу, подібне до DoS-атаки.
  • Перевитрати бюджету.
  • Каскадні збої через блокування зовнішніх API за перевищення лімітів.

Заходи захисту

  • Ліміти запитів (rate limits), обмеження токенів та квоти на виклик інструментів.
  • Автоматичні вимикачі (circuit breakers) та виявлення циклів для агентів.
  • Обмежені бюджети для окремих проектів та сповіщення про витрати.

Бажаєте безпечно впровадити ШІ-агентів у вашу інфраструктуру або налаштувати надійне відновлення даних? Звертайтесь до команди Wise IT — офіційного партнера Veeam та ведучих постачальників ШІ-рішень! Наші фахівці нададуть вам безкоштовну консультацію та розкажуть про найкращі IT-практики для вашої галузі:

Отримати консультацію

Корпоративний підхід: Контролюйте доступ ШІ та відновлюйте те, що він зламає

Більшість програм GenAI зосереджені на «безпечних промптах». Це необхідно, але недостатньо.

Готовність до реальної експлуатації поєднує в собі:

  • Управління даними та правами доступу: виявляйте, класифікуйте, обмежуйте доступ та моніторьте використання.
  • Стійкість та готовність до відновлення: захищені від змін бекапи, чисті точки відновлення та протестована реставрація систем і даних, від яких залежить ваш ШІ.

У роботі з LLM-додатками реалістична мета — не нуль інцидентів, а:

  • Мінімальний радіус ураження
  • Швидке виявлення
  • Миттєвий відкат та чисте відновлення
  • Аудитованість та доказ контролю

Як Veeam допомагає захистити ШІ-інфраструктуру?

Платформа Veeam та її нове рішення Agent Commander, анонсоване у лютому 2026 року після поглинання компанії Securiti AI, забезпечує стійкість і “кнопку скасування” для інцидентів у GenAI, дозволяючи мінімізувати ризики промпт‑ін’єкцій, отруєння даних, компрометації індексів, витоку промптів та надмірних витрат на використання агентів.

Ключові інструменти захисту GenAI

  • Незмінні (Immutable) бекапи: захист RAG-корпусів, векторних БД та промптів від «отруєння» даних і несанкціонованих модифікацій.
  • Чисте відновлення (Clean Restore): швидке повернення AI-стека до гарантовано безпечного стану після промпт-ін’єкцій чи зламів.
  • Версійність копій: можливість точного відкату індексів, ембеддінгів та налаштувань до версій, що передували інциденту.
  • Захист конфігурацій та метаданих: резервування системних промптів, інструкцій для агентів та налаштувань оркестрації (workflow).
  • DR-оркестрація: автоматизоване відновлення всієї AI-інфраструктури з мінімальним радіусом ураження та перевіркою цілісності.
  • Захист K8s та Linux: безпека базових середовищ (Veeam + Kasten), де розгорнуті моделі, пайплайни та векторні сервіси.
  • Резервування політик безпеки: захист IAM-ролей, секретів та токенів для запобігання маніпуляціям привілеями агентів.
  • Аудит та валідація (SureBackup): автоматична перевірка «чистоти» та працездатності копій перед їх використанням.

Фінальний 10-кроковий чекліст з безпеки та стійкості LLM

Використовуйте це як фінальну перевірку для будь-якого LLM-додатка, RAG-асистента або агентського процесу.

  1. Проведіть повну інвентаризацію ШІ-компонентів
    • Додатки, моделі, промпти, воркфлоу, інструменти, конектори, джерела даних, векторні БД
    • Призначте відповідального за кожну систему
  1. Виявляйте та класифікуйте дані до того, як ШІ їх торкнеться
    • Визначте PII/PHI/PCI-інформацію, секрети та критичну власність
    • Розділіть дані на дозволені та заборонені для ШІ
  1. Впровадьте принцип найменших привілеїв для пошуку та дій
    • Пошук має враховувати особу користувача та права на документи
    • Обмежуйте права інструментів короткими токенами та білими списками
  1. Захистіть систему від прямих та непрямих промпт-ін’єкцій
    • Вважайте весь вхідний контент ненадійним
    • Додайте фільтри політик перед пошуком та перед видачею відповіді
  1. Обмежте використання інструментів та автономію агентів
    • Схвалюйте тільки конкретні ендпоінти та валідуйте аргументи
    • Вимагайте підтвердження для дій типу «видалити», «оплатити», «опублікувати»
  1. Сприймайте вивід LLM як ненадійний
    • Валідуйте/екрануйте дані перед виконанням або відображенням
    • Використовуйте структуровані схеми та серверну перевірку
  1. Захистіть рівень RAG та векторну базу як продуктивне середовище
    • Контролюйте походження даних та відстежуйте зміни
    • Забезпечте ізоляцію даних та шифрування
  1. Логуйте та моніторьте специфічні для ШІ сигнали
    • Промпти (з прихованими даними), результати пошуку, виклики інструментів
    • Виявляйте аномалії: патерни ін’єкцій, сплески активності, нетипові обсяги пошуку
  1. Підготуйте «тривожні кнопки» та плани реагування
    • Можливість миттєво вимкнути інструменти або ізолювати агента
    • Процедури ротації ключів для всіх підключених сервісів
  1. Стійкість: незмінні бекапи та чисте відновлення
    • Робіть копії вихідних даних, конфігурацій, промптів та індексів
    • Регулярно тестуйте відновлення для швидкого відкату до робочого стану

Підсумкові думки

LLM стають новим «інтерфейсом» до корпоративних систем, який працює природною мовою, часто з конфіденційними даними і з правом на виконання дій. Успіху досягають ті команди, які розглядають безпеку ШІ як комплексну дисципліну: керуйте доступом, обмежуйте дії, перевіряйте результати та гарантуйте відновлення. Якщо ви зможете стабільно виконувати ці чотири умови, ви зможете безпечно масштабувати GenAI без шкоди для швидкості бізнесу.

Бажаєте безпечно впровадити ШІ-агентів у вашу інфраструктуру або налаштувати надійне відновлення даних? Звертайтесь до команди Wise IT — офіційного партнера Veeam та ведучих постачальників ШІ-рішень! Наші фахівці нададуть вам безкоштовну консультацію та розкажуть про найкращі IT-практики для вашої галузі:

Отримати консультацію