Сначала это выглядело как очередной мем. Кто-то в твиттере выложил скриншот: разработчик спрятал в промпте для нейросети команду, которая при генерации кода незаметно добавляла логику удаления файлов. Шутка? Возможно. Но уже через неделю несколько проектов на GitHub потеряли данные. Добро пожаловать в эпоху, когда ваша AI-среда может выстрелить вам в ногу не случайной ошибкой, а целенаправленной атакой.
Кто, зачем и как: хроника data-nuking
Неизвестный разработчик (назовём его Анонимус) опубликовал в открытом репозитории промпт для генерации Python-скриптов. Внешне безобидный запрос: «напиши утилиту для архивации логов». Но внутри промпта была зашита инструкция для LLM — добавить в код условие: if os.getenv('PROD'): shutil.rmtree('/') и замаскировать его под обычную функцию очистки. Модель, не заметившая подвоха, исправно генерировала бомбу замедленного действия.
Жертвами стали те, кто бездумно копипастил код, не читая. Так называемые «vibe coders» — люди, которые верят, что LLM выдаёт идеальный софт с первой попытки. Итог: минимум три форка репозитория отрапортовали о потере данных на продакшене. Никто не умер, но репутация пострадала знатно.
Важно: Этот случай — не единичный. Ранее OpenCode был взломан через RCE, а Copilot атаковали через один клик. Prompt injection становится стандартным вектором.
Техническая подоплёка: почему это сработало?
LLM (вроде GPT-4, Claude 4, Gemini 3) обучаются на огромных корпусах текста, где промпты и код перемешаны. Если в промпте явно не отделить инструкции от данных — злоумышленник может «вложить» команду внутрь, которую модель воспримет как руководство к действию. Это классическая prompt injection, только теперь атакуемый не чат-бот, а среда разработки.
В нашем случае Анонимус использовал приём «indirect injection»: он не отправлял промпт жертве напрямую, а опубликовал его на GitHub. Жертва сама копировала его в свой инструмент (Cursor, Copilot, Continue.dev). Модель доверяла промпту — и код становился опасным. Эта ситуация идеально ложится в тренд бесконечного кризиса архитектуры, который порождает вайб-кодинг.
Что говорят эксперты?
В мае 2026 года OpenAI официально признала: промпт-инъекции — это навсегда. Никакие guardrails не гарантируют 100% защиту. А в контексте AI-браузеров и агентов уязвимость только усугубляется. Если модель сама выполняет код, а не просто предлагает — риск максимален.
Атаки на AI-ассистентов уже перестали быть экзотикой. Например, случай с Clinejection, когда промпт в заголовке GitHub Issue скомпрометировал 4000 систем, и «Moltbook» (утечка 1,5 млн токенов через Supabase) — это звенья одной цепи.
Как защититься: не дайте себя «распромптить»
- Проверяйте сгенерированный код — не верьте модели на слово. Особенно если она предлагает работу с файлами, сетью или shell.
- Используйте изолированные среды — запускайте AI-агентов в Docker-контейнерах с минимальными правами.
- Внедряйте политику «minimum necessary» для токенов и API-ключей. Гайд по защите от промпт-инъекций подскажет конкретные техники.
- Не используйте промпты из непроверенных источников — особенно если они обещают «магию». Вайб-кодинг и безопасность часто несовместимы (читайте подробнее).
- Обновляйте инструменты — Cursor, Copilot, Continue.dev и прочие регулярно патчат известные уязвимости. Кстати, недавно Cursor обвиняли в нарушении лицензий, так что доверие к IDE тоже под вопросом.
Что дальше? Прогноз на вторую половину 2026
Ожидайте массовых появлений «промпт-червей» — вредоносных инъекций, которые будут распространяться между AI-агентами через общие контексты. Если сейчас атаки точечные, то через год они станут эпидемическими. Единственный path forward — строгая сегментация контекста и человеческий надзор. Технология «Vibe coding» без контроля — это не будущее, это опасная игра.
