Спроби використати вразливості штучного інтелекту для просування в пошуковій видачі перетворюють SEO на кібератаку. Це загрожує повним блокуванням ресурсу.
Prompt Injection — це метод маніпуляції великими мовними моделями (LLM). За допомогою цієї техніки зловмисники змушують ШІ ігнорувати початкові інструкції та виконувати сторонні команди.
Організація OWASP визначає це як критичну вразливість. Вона виникає через відсутність чіткого розділення між системними інструкціями та даними користувача.
Для власників сайтів ризиком є непряма ін’єкція (Indirect Prompt Injection). Команди вбудовують безпосередньо в контент сторінки. Коли пошуковий робот або ШІ-агент зчитує таку сторінку для формування відповіді в Google AI Overviews, він може виконати приховану інструкцію. Це дозволяє змусити ШІ рекомендувати конкретний продукт або виводити підготовлений текст, ігноруючи факти.
Захист Google проти маніпуляцій з Prompt Injection
Google розглядає такі дії як загрозу безпеці. Компанія використовує дані Common Crawl для пошуку патернів ін’єкцій у відкритому вебі. Для боротьби з цими методами впроваджено багаторівневий захист.
Спеціальні класифікатори контенту фільтрують шкідливі інструкції до того, як вони потраплять у контекст моделі. Моделі Gemini проходять навчання на змагальних даних. Це робить їх стійкими до спроб обману. Google також очищує Markdown та видаляє підозрілі URL-адреси, щоб мінімізувати ризик виконання сторонніх команд.
“Indirect Prompt Injection (IPI) є пріоритетом для спільноти безпеки, оскільки це основний вектор атаки на ШІ-агентів”, — зазначає команда Google Threat Intelligence у своєму звіті Google Security Blog.
Додатково можна прочитати: Пом’якшення атак швидкого впровадження за допомогою багаторівневої стратегії захисту.
Приховані команди: як зловмисники маніпулюють штучним інтелектом
Спеціалісти з кібербезпеки попереджають про зростання кількості непрямих ін’єкцій. Вони дозволяють керувати AI-системами через сторонні вебсторінки та документи.
Зловмисники знайшли спосіб керувати великими мовними моделями (LLM) без прямого діалогу з ними. Замість спроб «зламати» чат-бота через вікно повідомлень, атакуючі розміщують шкідливі інструкції на вебсайтах, у документах або електронних листах. Коли AI-агент аналізує ці дані, він сприймає прихований текст як команду від адміністратора та виконує її.
Цей метод називають непрямою ін’єкцією промптів (Indirect Prompt Injection). Прямі атаки зазвичай передбачають відкриту вимогу до моделі «ігнорувати всі попередні інструкції». Непряма атака діє непомітно. AI може викрасти приватні дані користувача або надіслати конфіденційну інформацію на зовнішній сервер, просто прочитавши заражену сторінку.
Техніки маскування та обходу
Хакери використовують техніки приховування коду (обфускацію), щоб обійти фільтри безпеки.
Інший метод полягає у навмисному переплутуванні літер у словах.
Також зафіксовано використання Unicode-символів та рендерингу LaTeX. Це створює «невидимий» текст, який людина не помітить на сторінці, але AI обов’язково обробить.
SEO в епоху генеративного пошуку
Використання Base64-кодування або навмисного спотворення слів для обходу фільтрів не є легітимним SEO.
Google не полінувався і опублікував цілий посібник призначений для власників веб-сайтів, які шукають офіційні рекомендації від Пошуку Google щодо того, як досягти успіху в генеративних функціях штучного інтелекту в Пошуку Google (таких як огляди ШІ та режим ШІ).
Звернуть увагу, що Google активно вивчає дослідження на цю тему і можливі шаблони, для масосого виявлення цього виду зловживання. Дуже ймовірно, що у найближчі кілька років Indirect Prompt Injection (IPI) буде прирівняно до спаму.
Фахівці радять замість спроб зламати логіку моделі за допомогою Prompt Injection використовувати такі підходи:
• Створювати матеріали на основі реального особистого досвіду.
• Пропонувати унікальну точку зору, яка виділяється серед інших джерел.
• Забезпечувати точність даних для систем RAG (Retrieval-Augmented Generation).
У гіршому випадку сайт може бути покараний за порушення правил пошукової системи.