Минулого тижня ти підключив свого блискучого нового AI-агента до Slack, Linear, GitHub та пошти. П'ять інструментів, один автономний асистент, нуль тертя. Ранковий воркфлоу нарешті відчувався як те майбутнє, яке нам обіцяють з 2023-го. Вітаю — заодно ти зібрав поверхню атаки, від якої Windows XP зразка 2005 року заплакав би від заздрощів.
Ось проблема, яку ніхто не згадав під час онбордингу: кожне повідомлення, тікет, issue та документ, який читає твій агент — це текст, написаний кимось іншим. А твій агент — на базі LLM (large language model, мозок ChatGPT, Claude, Gemini) — фізично не здатний відрізнити твої інструкції від інструкцій, які хтось сховав усередині того тексту. Ця вразливість має назву: prompt injection — коли атакер вбудовує приховані команди у звичайний контент, і AI виконує їх замість твоїх.
Prompt injection перестав бути теоретичним у лютому, коли атака Clinejection витягнула SSH-ключі приблизно у 4 000 розробників через невидимі Unicode-символи, заховані в заголовках GitHub issues. То був proof of concept. Квітень 2026-го — це production deployment.
4 квітня хмарна безпекова компанія Wiz опублікувала аналіз supply chain кампанії під назвою prt-scan: один зловмисник створив 475 шкідливих pull request за 26 годин, використовуючи AI-генеровані пейлоади, які адаптувались під технічний стек кожного репозиторію. Python? Ін'єкція через conftest.py. Node.js? Отруєний package.json. Rust? Підсадка в build.rs. Інструментарій атакера — по суті, агент, що атакує інших агентів — працював у темпі, з яким жоден людський рев'юер не зрівняється. Серед підтвердженої здобичі — AWS-ключі, Cloudflare API токени та Netlify credentials.
11 квітня спливли дві критичні вразливості (CVE-2026-5058 та CVE-2026-5059, обидві з оцінкою 9.8 з 10) в AWS MCP сервері — MCP (Model Context Protocol) — це універсальний стандарт підключення AI-агентів до зовнішніх інструментів, щось на кшталт USB, але для даних. Обидві дірки дозволяли неавтентифіковане віддалене виконання коду. Без логіну. Просто надішли правильний текст. Проблеми AWS не були поодинокими: Microsoft Azure MCP Server поставлявся взагалі без автентифікації (CVE-2026-32211, розкрито 3 квітня), а 7 квітня вразливість DNS rebinding (CVE-2026-35568) у MCP Java SDK дозволяла перехоплювати локально запущені AI-сервери через браузер жертви.
9 квітня команда Unit 42 з Palo Alto задокументувала 22 окремі техніки, які атакери використовують у дикій природі: текст нульового розміру, CSS-приховування, Base64-кодування, Unicode directional overrides.
Їхній висновок заслуговує на окремий рядок: "Веб фактично стає механізмом доставки промптів до LLM."
Поверхня атаки масштабується мультиплікативно. Агент, підключений до п'яти інструментів, має п'ять вхідних каналів для отруєного тексту. З'єднай агентів у ланцюжок — Slack тригерить Linear, Linear тригерить кодинг-агента — і одна ін'єкція каскадом проходить через кожну передачу. Безпековий дослідник Саймон Віллісон сформулював це точно у своєму пості від 6 квітня: "Смертельна тріада" — доступ до приватних даних + контакт з недовіреним контентом + будь-який вектор ексфільтрації = гарантована крадіжка даних. Його оцінка вендорів, що заявляють про 95% захист від атак: "95% — це дуже навіть незадовільна оцінка."
2 квітня Microsoft мовчки визнав прогалину, опублікувавши у відкритий доступ Agent Governance Toolkit — runtime-enforcement політик за менш ніж 0.1 мс, сім пакетів, 9 500 тестів, підтримка Python, TypeScript, Rust, Go та .NET. Непоганий старт. І водночас — визнання, що жодна існуюча платформа не має цього з коробки.
Перш ніж підключати шостий інструмент, проведи аудит того, які дії твій агент може виконувати автономно. Вважай кожен текстовий ввід, який він читає — кожне повідомлення в Slack, кожен тікет у Jira, кожну тему листа — потенційною непідписаною командою, що виконується з твоїми credentials.
Найнебезпечніший агент — не найрозумніший. А той, у кого найбільше дозволів і жодного поняття, що його вже скомпрометовано.
