Отчет OpenAI об угрозах за июнь 2026 года: ИИ-агенты используются для вредоносной деятельности

OpenAI опубликовал Отчет об угрозах за июнь 2026 года, в котором анализируется, как AI-агенты и большие языковые модели используются в злонамеренных целях. Отчет охватывает кампании по дезинформации, массовый фишинг и мошенничество с помощью AI-агентов, с конкретными примерами и метриками.
Ключевые выводы
- Операции по дезинформации: Более десятка сетей были нейтрализованы, причем контент, созданный AI, был на 30% чаще, чем операции только с участием людей. AI-агенты создавали реалистичные персонажи и автоматизировали генерацию контента для влиятельных кампаний.
- Фишинг и мошенничество: AI-агенты обеспечили 40% всех фишинговых писем, обнаруженных в первом квартале 2026 года, при этом персонализированная генерация языка увеличила процент переходов по ссылкам на 15–20% по сравнению с атаками на основе шаблонов.
- Хищение учетных данных: Агенты генерировали поддельные страницы входа, имитирующие 50+ брендов, используя адаптацию в реальном времени для обхода обнаружения.
Технические детали для разработчиков
В отчете рекомендуется несколько мер по смягчению последствий для разработчиков, развертывающих AI-агентов:
- Ограничение скорости и обнаружение аномалий: Внедрите лимиты токенов на пользователя и отслеживайте необычные паттерны (например, внезапные всплески запросов к конечным точкам генерации контента). OpenAI обнаружил 12% вредоносного использования через объемные аномалии.
- Фильтрация выходных данных: Используйте конечную точку
Moderationдля проверки выходных данных модели на наличие разжигания ненависти, преследования или сигналов дезинформации перед доставкой. Внутренние фильтры OpenAI отметили 78% оскорбительных выходных данных. - Водяные знаки: Метаданные C2PA и невидимые водяные знаки помогли отследить 90% созданных AI фишинговых страниц до конкретных экземпляров модели.
Стратегии смягчения на практике
В отчете подробно описаны три кейса:
- Ботнет дезинформации: Сеть из 2000 AI-агентов создала более 500 000 постов за 48 часов на 10 социальных платформах. OpenAI нарушила их работу, выявив общие IP-кластеры и пересечение промптов.
- Целевой фишинг в масштабе: Агенты собирали профили LinkedIn и генерировали персонализированные письма, нацеленные на 10 000 руководителей. Обнаружение основывалось на ошибке выравнивания DMARC и анализе аномалий DNS.
- Поддельные агенты поддержки: AI-агенты имитировали чат-ботов поддержки на сайтах электронной коммерции для сбора платежной информации. Меры OpenAI: принудительная аутентификация пользователей через OAuth и лимиты на количество транзакций.
Что делать разработчикам
Если вы создаете AI-агентов, интегрируйте пакет openai-moderation и включите логирование активности через Usage Dashboard. Настройте оповещения о необычных паттернах запросов (например, более 1000 генераций в час с одного ключа API). Полный отчет содержит обновленные индикаторы угроз и рекомендуемый контрольный список безопасности.
📖 Читать полный источник: HN AI Agents
👀 Смотрите также

Песочница OpenClaw: Повышение безопасности в программировании ИИ
Узнайте о последних обсуждениях в сообществе OpenClaw о создании песочниц, важной технике для обеспечения безопасности AI-агентов программирования. Исследуйте, почему пользователи считают это необходимым для защиты инноваций в AI.

Уязвимость в Snowflake Cortex Code CLI позволяла обходить песочницу и выполнять вредоносный код
Уязвимость в Snowflake Cortex Code CLI версии 1.0.25 и более ранних позволяла выполнять произвольные команды без одобрения человека через обход подстановки процессов, что позволяло устанавливать вредоносное ПО и выходить из песочницы с помощью косвенной инъекции промптов.

Атаки с маскировкой домена обходят детекторы в многолетних LLM-системах
Новое исследование показывает, что инъекционные полезные нагрузки, адаптированные под словарь предметной области, обходят детекцию: IDR упал с 93.8% до 9.7%. Многоагентные дебаты усиливают атаки. Llama Guard 3 не обнаруживает ни одной полезной нагрузки.

MCP Sandbox: Запускайте MCP-серверы в изолированных контейнерах без необходимости им доверять
Разработчик создал MCP Sandbox, который запускает MCP-серверы в изолированных контейнерах gVisor с политикой запрета сетевого доступа по умолчанию и безопасным внедрением секретов, а также предварительным сканированием на уязвимости CVE и проверкой паттернов.