раздел 02

Чем это опасно

Опасность инъекции прямо зависит от того, что агенту разрешено делать. Если агент умеет только отвечать текстом - ущерб ограничен. Если у него есть доступ к файлам, почте, оплате, секретам и прод-системам, спрятанная команда может натворить много.

Что может пойти не так

Утечка секретов и токенов
Агент по чужой команде отправит наружу ключи, токены, пароли или содержимое конфигов, до которых дотягивается.
Несанкционированные действия
Удалить файлы, отправить письмо, сделать оплату, изменить прод - всё, к чему у агента есть доступ.
Запуск вредоносного кода
Инъекция заставит агента выполнить или установить вредоносный код в вашем окружении.
Дальнейшее распространение
Заражённый агент протаскивает вредонос дальше - в новые файлы, репозитории, письма, окружения.

Промпт-инъекция опасна ровно настолько, насколько широки права агента. Узкие права плюс подтверждения на важные действия превращают потенциальную катастрофу в мелкую неприятность.

Как это становится supply-chain атакой

Самое неприятное - инъекция масштабируется через цепочку поставки. Злоумышленники распространяют вредные скилы, правила, MCP-серверы и пакеты под видом полезных. Вы устанавливаете «удобный» скил, а внутри - и спрятанная инъекция в инструкциях, и вредоносный код. Один заражённый компонент бьёт сразу по всем, кто его поставил.

Что распространяют
Вредные скилы, правила (`rules`), MCP-серверы и пакеты под видом полезных инструментов.
Что внутри
Спрятанная инъекция в инструкциях и/или вредоносный код. Снаружи выглядит как обычный полезный компонент.