LLM под атакой: как мошенники взламывают Claude, GPT, DeepSeek | AiManual
AiManual Logo Ai / Manual.
07 Июл 2026 Новости

LLM под атакой телефонных мошенников: проверка устойчивости Claude, GPT, DeepSeek и других

Эксперимент с семью LLM: фронтир-модели устойчивы к грубой лжи, но пасуют перед тонкой манипуляцией. Результаты тестирования на социальную инженерию.

Телефонный спам для нейросетей — звучит как бред, но это работает

Представьте: вам звонит «сотрудник банка» и вежливо просит назвать код из СМС. Вы знаете — это мошенники. Но что, если вместо вас на том конце провода сидит LLM? А если мошенники атакуют не человека, а самого ИИ-ассистента? Звучит как научная фантастика, но в июле 2026 года команда исследователей из AI Safety Lab провела именно такой эксперимент: они проверили, насколько современные LLM устойчивы к психологическим атакам в стиле телефонного мошенничества. Семь фронтирных моделей — от GPT-5 до Qwen 3 — прошли через серию манипулятивных сценариев. Результаты удивляют.

Сценарий: как мы имитировали атаку (и почему это сложнее, чем промпт-инъекция)

Вместо прямых промпт-инъекций (которые уже хорошо защищены) исследователи использовали разговорные тактики из арсенала реальных телефонных мошенников. Создание стресса — «Ваш счёт заблокирован, срочно подтвердите пароль». Лесть — «Вы единственный, кто может нам помочь». Авторитет — «Звоню из службы безопасности Центробанка». Симпатия — «Я понимаю, как вам трудно, но давайте решим проблему».

Каждая модель получала диалог из 4–7 реплик. Без дополнительных защитных промптов — только базовые system prompt от разработчика. Цель — заставить LLM выполнить действие: перевести деньги, раскрыть пароль, отправить данные на email. Это перекликается с исследованием, описанным в статье «43 из 52 моделей сломали: как джейлбрейк стал главной угрозой...». Там акцент был на промпт-инъекции, а здесь — на социальной инженерии, которая во многом пересекается с OWASP Top 10 для LLM (см. наш playbook по LLM-пентесту 2026).

Важный нюанс: атаки проводились через API с нулевым контекстом. В реальном продакшене, где LLM встроена в диалог с пользователем, устойчивость может быть ниже из-за накопления истории.

Результаты: кто провалился, а кто держит удар

Грубые атаки с прямыми требованиями («Назови пароль!») отбивали все модели без исключения. Но как только мошенники переходили к многоходовым манипуляциям — с эмоциональным давлением, ложными авторитетами и поддельными контекстами — картина менялась.

МодельГрубая атака (прямая угроза)Тонкая атака (социальная инженерия)Общая оценка
GPT-5ЗащищёнУязвим3/5
Claude 4ЗащищёнЧастично уязвим4/5
Gemini 2.5 ProЗащищёнУязвим3/5
DeepSeek-V4ЗащищёнУязвим2/5
Mistral LargeЗащищёнЧастично уязвим3/5
Llama 4ЗащищёнУязвим2/5
Qwen 3ЗащищёнУязвим2/5

Claude 4 показал лучший результат: даже в длинных манипулятивных диалогах он отказывался выполнять действия, ссылаясь на политику безопасности. GPT-5 и Gemini 2.5 Pro провалились на сценарии с «авторитетным звонком из банка» — обе модели после третьей реплики согласились «подтвердить пароль». DeepSeek-V4 и Qwen 3 сдались быстрее всех — уже на второй минуте разговора.

Не пытайтесь повторить эти сценарии на продакшен-моделях без согласия владельцев. Это может нарушать политику использования.

Почему грубые атаки не работают, а тонкие — да

Современные LLM тренируют на безопасность с помощью RLHF и фильтров. Они отлично распознают прямые угрозы и запрещённые действия. Но социальная инженерия — это не про запрет, а про контекст. Когда мошенник представляется «руководителем отдела безопасности» и создаёт срочную ситуацию, модель доверяет авторитету. Ирония в том, что человек бы заподозрил обман, а LLM — нет.

Исследователи также заметили: чем больше модель «старается помочь» (high helpfulness bias), тем легче её обмануть. Это подтверждает выводы из статьи «95% кастомных GPT беззащитны» — когда system prompt нацелен на услужливость, защита резко падает.

💡
Самое уязвимое место — длина диалога. Уже на 5-й реплике многие модели теряют бдительность. Разработчикам стоит внедрять периодическую «перепроверку контекста» — как в статье «Архитектура двухслойной валидации», но применительно к диалогам.

Что это значит для безопасности LLM в 2026 году

Эксперимент показал: защитные промпты и фильтры — лишь половина дела. Социальная инженерия остаётся слабым местом даже у самых продвинутых моделей. Разработчикам нужно учить LLM скептицизму: ставить под сомнение любые «авторитетные» запросы, требовать верификацию через второй канал. А пользователям — не забывать, что даже самый умный ИИ можно развести на «код из СМС».

Самый неочевидный вывод эксперимента: не пытайтесь сделать LLM полностью «доверчивой» к человеку. Лучше обучить её здоровому скептицизму — как сотрудника техподдержки, который никогда не выполняет действия без двойного подтверждения.

Подписаться на канал