Только с одним вредоносным обучением машина навсегда подчиняется злонамеренному.
Spaiware уязвимости была обнаружена в Windsurf Cascade — среда разработки, направленная на автоматизацию кода искусственного интеллекта и поддержки разработчиков. Это позволяет впрыгивать команды в систему AIS, которые хранятся в долгосрочной памяти без знаний потребителей и используется для непрерывного отображения данных.
Исследователь под прозвищем «Wunderwuzzi», который опубликовал информацию 22 августа 2025 года, объясняет, что впервые продемонстрировал аналогичный метод в прошлом году в Chatgpt, после чего Openai решил проблему. Однако в Виндсурфе механизм памяти был уязвим по тем же причинам.
Продвижение системы показало, что инструмент был встроен в каскад Create_memoryкоторый автоматически записывает новую информацию в долгосрочной памяти. Это означает, что злоумышленник может внедрить инструкции через косвенную атаку к тексту приправы и записать их в будущем.
В результате все будущие сессии будут находиться под контролем вредоносных команд. Эта возможность сталкивается с конфиденциальностью, целостностью и доступностью всей корреспонденции.
Атака реализуется путем ввода скрытого кода, например, в форме комментария внутри исходного кода — в выходном файле. В анализе документа агент активирует инструмент памяти Tai записывает инструкции. Пользователь может даже не заметить это: запись записывается в интерфейсе незамеченной и часто остается незамеченной.
Кроме того, инструкция может быть замаскирована в элементе интерфейса с размером прозрачного пикселя, что делает его практически невидимым. В то же время журналы сервера показывают, что содержимое чата отправляется третьему партийному ресурсу, что подтверждает возможность утечки данных.
Исследователь сообщил о проблеме разработчиков 30 мая 2025 года. Компания первоначально признает ошибку, но дальнейшее общение не удается. Три месяца спустя было сделано публичное раскрытие, чтобы привлечь внимание к угрозе.
После публикации Виндсурф связался и заявил о своем намерении освободить исправление, но сроки для реализации до сих пор неизвестны. Видео с подробной демонстрацией временно приостановлено, в то время как критические проблемы решаются.
Риски для Spaiware связаны не только с кражей данных, но и с возможностью вторжения неверной информации или встроенного -в «закладках» пользователя, что будет вызвано в любом новом разговоре. Это практически превращает память системы в канал дистанционного управления. Угроза усиливается из -за отсутствия песчаника и контроля в добавлении воспоминаний, в отличие от других агентов, где такие действия требуют согласия человека.
В качестве меры защиты предлагается изменить принцип памяти: система должна предлагать только добавление данных, а не сохранять его автоматически.
Также рекомендуется запретить отображение изображений и ссылок, ведущих к внешним доменам без проверки доверия, как реализовано, например, в коде VS. Для пользователей совет остается прежним — регулярно просматривайте воспоминания и удаляйте подозрительные записи.
Spaiware дала понять, что сочетание долгосрочных воспоминаний и отсутствия ограничений создает новую категорию угроз для агентов искусственного интеллекта. В отличие от одной атаки, инструкции таким образом продолжают работать на протяжении всего жизненного цикла системы и могут использоваться для постоянного извлечения информации и манипулирования поведением модели.
